ADI Pieejas kontroles un servisa nodaļa specializējas dažādu elektronikas un identifikācijas karšu pielietojumu projektēšanā, izstrādāšanā un realizācijā, kā arī realizēto projektu uzturēšanā un servisa apkalpošanā.
Šajā sadaļā ietverta papildus informācija par mūsu izmantotajiem produktiem un tehnoloģijām, kas var palīdzēt precīzāk noformulēt Klienta vēlmes un prasības Sistēmu izstrādei.
Sadaļā ietverti papildus paskaidrojumi par:
ADI ir pieredzējis partneris dažāda veida dokumentu izgatavošanas sistēmu izstrādē, nepieciešamās aparatūras komplektēšanā un piegādē, datu bāzu risinājumos un sistēmu uzturēšanā.
Šodien vairs nav ērti ievietot karti lasītāja spraugā. Daudz ērtāk ir to vienkārši tuvināt lasītājam. To veic bezkontakta kartes. Izmantojot drošu bezkontakta viedkarti Mifare® kā elektronisko maciņu, ir izveidota slēpotāju pacēlāju izmantošanas apmaksas sistēma, virkne citu sistēmu.
Droša klientu un bankas informācijas saglabāšana, elektroniskā nauda un elektroniskais maciņš, elektroniskā identitāte, piekļuve datu bāzēm un e-paraksts – nekas no augstāk minētā nav iedomājams bez plastikāta kartē iestrādātas integrālās shēmas – viedkartes.
Sadaļā ietverti papildus informācija par plastikāta kartēm un tajās izmantotajiem mašīnlasāmajiem elementiem.
Plastikāta karte tiek veidota salaminējot vienā nedalāmā veselumā apdrukātas un caurspīdīgas PVC vai cita polimēru materiāla loksnes pie temperatūras, kura ir tuva polimera plastifikācijas temperatūrai un pie liela spiediena ar rūpniecisku aparatūru. Pēc kartes izciršanas ID-1 formātā tā atbilst ISO/IEC 7810 un ISO 10373 izvirzītajām prasībām. Ieteiktais kartes "dzīves laiks" ir līdz 5 gadiem.
Plastikāta karšu ražošanā un personalizācijā specializējas mūsu meitas kompānija ADI Kartes.
Plastikāta karšu ražošanā izmanto t.s. "sendviča" metodi - zināma izmēra un biezuma baltas vai apdrukātas plastikāta (patlaban vēl joprojām dominē PVC) loksnes salaminē kopā, izmantojot augstu spiedienu un temperatūru. No salaminētās loksnes izcērt kartes, izmantojot standarta izmēram atbilstošu izcirtēju. Ja kartei nav paredzēts uzdrukāt mainīgo informāciju - personas datus, numerāciju, skenētu fotogrāfiju, parakstu utml., tad karte ir gatava !
Ja nepieciešams uzdrukāt mainīgo informāciju, t.i., karti personalizēt, tad izcirstās kartes apdrukā ar karšu apdrukas printeriem.
Zemāk redzamajā zīmējumā ir parādīta "sendviča" shēma. "Sendvičs" sastāv no 5 loksnēm :
1. un 5. loksne ir caurspīdīgas (transparentas). Ja karte ir ar magnētisko joslu, tad uz 5. loksnes zināmos, standartam atbilstošos attālumos atrodas magnētiskā lente.
2. loksne ir PVC loksne, balta vai arī tipogrāfiski apdrukāta no vienas puses.
3. loksne ir PVC loksne ("starploksne"), kura ir viscaur balta. Šī loksne veido kartes vidu jeb serdi.
4. loksne ir PVC loksne, balta vai arī tipogrāfiski apdrukāta no vienas puses.
PVC kartes
PVC, polivinilhlorīds, ir visplašāk lietotais karšu materiāls, kaut gan pret to izmantošanu iebilst vidi aizsargājošās organizācijas. Pasaulē karšu ražošanā izlieto ~ 0,26% no kopējā patērētā PVC. Citās jomās PVC plaši izmanto arī citās jomās - logu profilu, cauruļu, kabeļu izolācijas, grīdas segumu ražošanai.
Priekšrocības:
Trūkumi:
Pēdējā laikā ir radīti vairāki PVC kopolimeri, kuri uzlabo tā īpašības. Piemēram, polivinilacetāts PVA nodrošina augstu viskozitāti un ļauj samazināt laminēšanas laiku, kā arī nodrošina stiprāku sasaisti starp karšu slāņiem.
ABS kartes
Akrilnitril-butadiena-stirēns jeb ABS ir visbiežāk lietotais stirēnu grupas karšu materiāls, gadījumos, kad integrālā shēma tiek ievietota kartē, tajā izfrēzējot speciālu ligzdu.
Laba temperatūras stabilitāte. Ir problēmas izgatavot kartes, kurās ofseta apdruka ir aizsargāta ar caurspīdīgu slāni, jo nav iespējams izgatavot caurspīdīgu ABS loksni (caurspīdīgajā materiālā veidojas pienainākas vietas). Labi laminējas. Pieļaujamā temperatūra 90 - 1000C, laba izturība pret triecieniem. Materiāla pašizmaksa ~1,5 reizes augstāka par PVC. Ir materiāla modifikācijas - tādas kā MBS (metakrilnitril-butadiena-stirēns).
Citi pielietojumi: automobiļu plastmasas detaļas, mājsaimniecības priekšmeti, elektrisko iekārtu korpusi.
Priekšrocības:
Trūkumi:
PC kartes
Polikarbonātam jeb PC ir augsta mehāniskā (triecienu) izturība, ilgs "dzīves laiks" , labas optiskās īpašības un termiskā izturība līdz 1500C. Lieto kompaktdisku ražošanā, autorūpniecībā caurspīdīgo detaļu izgatavošanā, medicīnas piederumu ražošanā, elektrisko ierīču ražošanā.
Priekšrocības:
Trūkumi:
PETP kartes
Poliesteru grupas materiāli, gan kristāliska, gan amorfa veida, tiek plaši lietoti karšu ražošanā. Kristāliskais poliesters (polietilēna teraftalāts) sevišķi izceļas ar labu mehānisko un termisko stabilitāti - līdz 2000C.
Plaši lietots kā hologrammu pamatnes materiāls un kā magnētiskā materiāla nesējs magnētiskajās lentās. To praktiski nav iespējams laminēt un izgatavot daudzslāņu kartes. Koekstrudēts ar polietilēnu, tiek izmantots karšu vāciņu izgatavošanā.
Amorfais glikolizētais poliesteris, saukts PETG, kuru plaši pielieto pārtikas produktu iesaiņojumu izgatavošanai, arī tiek lietots karšu izgatavošanā. Eiropā kā karšu materiāls nav populārs.
Svītru kodi (Bar code), kuros zīmes ierakstam izmanto dažāda platuma svītru un tukšumu miju, tiek plaši pielietota preču marķēšanā. Svītru kodi tiek izmantoti arī lai identifikācijas kartes padarītu automatizēti nolasāmas. Lēta tehnoloģija, kur drošības apsvērumi nav dominējošie, piemēram, klienta identifikācijas programmās, darba laika uzskaites sistēmās u.c. parasti ir viegli kopējami. Ir vairāki svītru kodu veidi:
Lineāro kodu aizsardzībai bieži izmanto maskēšanu, kad kods tiek drukāts ar infrasarkanajos staros necaurspīdīgu krāsu un pēc tam pārklāts ar redzamā gaismā optiski necaurspīdīgu aizsargslāni, tādejādi novēršot iespēju to kopēt ar tradicionālajiem kopēšanas aparātiem. Lasītājs nozīmīgiem pielietojumiem - parasti infrasarkanās gaismas caurskata tipa. Vienkāršākiem pielietojumiem izmanto gaismas diožu (LED) vai lāzera apgaismojuma atstarotās gaismas lasītājus.
Lai arī arvien plašāku pielietojumu gūst EPC, svītru kodu kartes ir ērtas vietās, kurās izmanto preču svītru kodu lasīšanu.
ISO 7810 "Identification cards - Physical characteristics".
Starptautisks standarts, kas nosaka identifikācijas karšu fizikālos parametrus, ieskaitot kartes materiālu, konstrukciju, raksturlielumus un izmērus trijiem karšu veidiem (ID-1; ID-2; ID-3). Populārākais izmērs ir ID-1. Finansiālajiem pielietojumiem ID-1 kartes izmērs ir precizēts standartā ISO 7813.
ID-1 kartes izmēri:
Garums 85,47 mm - 85,72 mm
Platums 53,92 mm - 54,03 mm
Biezums 0,76 mm ± 0,08 mm
Stūra noapaļojuma rādiuss 3,18 mm
Standarts apraksta karšu fizikālo parametru pārbaudes metodes.
Jāpiebilst, ka attiecībā uz karšu izmēriem eksistē arī citi lokālas darbības standarti.
ISO 7811 "Identification cards - Recording techniques".
Standartā ir 6 sadaļas, un tas nosaka magnētiskās joslas pielietojumus un reljefo druku ("embossing" ) uz kartes.
ISO 7812 "Identification cards numbering system and registration procedure for issuer identifier".
Standarts nosaka ar kādiem nosacījumiem ir piešķirams un reģistrējams kartes identifikācijas numurs vai bankas konta numurs, ko veido 3 daļas: izdevēja identifikācijas numurs, individuālā konta identifikators un kontroles skaitlis.
ISO 7813 "Identification cards - financial transaction cards".
ISO 7816 "Identification cards -Integrated circuit(s) cards with contacts".
Standarts nosaka specifikāciju kartēm ar iebūvētu integrālo shēmu - čipkartēm, kuras elektriskie izvadi ir uz kartes virsmas. Ir vairākas sadaļas.
ISO 10373 "Identification cards - Test methods".
Standarts nosaka fizikālo un citu parametru pārbaudes metodes.
ISO 10536 "Identification cards - Contactless integrated cirquit(s) cards".
Standarts nosaka karšu ar iebūvētu integrālo shēmu, kuras darbojas ar bezkontakta datu pārraides interfeisu, fizikālos parametrus , spoles izmērus un novietojumu, elektroniskos signālus un atgriešanas sākuma stāvoklī ("reset") procedūras.
ISO 11693, ISO 11694 "Identification cards - Optical memory cards".
Standarts definē optiskās kartes, to fizikālos parametrus, ieraksta metodes, optiskai nolasīšanai/ierakstīšanai paredzēto apgabalu novietojumu un izmērus, optiskās īpašības, loģisko datu struktūru.
ISO 14443 "Identification cards - Contactless integrated cirquit(s) cards".
Standarts papildina prasības bezkontakta darbības kartēm.
Ir vairāki standartu, kas arī attiecas uz identifikācijas kartēm to specifisku pielietojumu gadījumos, piemēram, banku kartēm, līdzīgi kā ISO 7813.
Standarti ir atrodami katrā nacionālajā standartizācijas iestādē.
Sistēmas, kas izmanto no attāluma nolasāmas kartes – bezkontakta (contactless), "proximity" un NFC (Near Field Communications) kartes un attiecīgus lasītājus, ir ieguvušas popularitāti, galvenokārt, pateicoties lietošanas ērtībām. Karte nav jāievieto vai jāizvelk caur lasītāju, pietiek to tikai tuvināt lasītājam, turklāt tā var atrasties maciņā vai kabatā.
Kartē ir iebūvēta mikroshēma un spolītes veida antena. Parasti, ievietojot karti nolasītāja elektromagnētiskajā laukā, mikroshēma saņem barošanu no lauka, un var sākties datu apmaiņas process. Darbības attālums var būt no dažiem centimetriem līdz dažiem metriem (vicinity) darba frekvencēm līdz 13,56 MHz, gandrīz līdz 10 m dažām speciāla izpildījuma kartēm augstākās frekvencēs un vairāki desmiti metru aktīviem tagiem ar barošanu. Parasti karte nosūta nolasītajam kodu, kas ir ierakstīts mikroshēmā un nav maināms, un to izmanto vienkāršākās sistēmās, tai skaitā pieejas kontrolē. Sarežģītākas sistēmas veido ar kartēm (tagiem, piekariņiem, diskiem utt.) kurās informācija ir pārrakstāma (var nebūt pieejams viss atmiņas saturs), drošības nodrošināšanai izmanto kriptogrāfiskos risinājumus un kartes/lasītāja savstarpējo autentifikāciju. Šādu karšu piemērs ir Mifare® saime, Calypso kartes, kuras izmanto Rīgas sabiedriskajā transportā un citas.
Pasīvās bezkontakta kartes, saņemot lasītāja elektromagnētiskā lauka enerģiju, pēc kartē iebūvētās likumības, maina lasītāja lauka parametrus tādējādi nodod informāciju par karti. Vienkāršākajām kartēm pati karte automātiski atbild ar tajā ierakstīto informāciju. Sarežģītākām kartēm process var būt divvirzienu un karte atbild uz konkrēto lasītāja "jautājumu".
Lasītāja lauku maina kartes antenas/kondensatora veidotā svārstību kontūra parametru izmaiņa. Var būt vairāki veidi kā to darīt - pieslēdzot stabilitronu, rezistoru, kondensatoru. Lasītāja lauka izmaiņas ir ļoti nelielas - ja spriegums lasītāja kontūrā sasniedz 100 V, tad kartes radītās lauka izmaiņas ir ar kārtu 100 mV.
Bezkontakta radiofrekvenču identifikācijas mikroshēmas ir sastopamas daudzos dažādos konstruktīvos izpildījumos, zemāk parādīti piemēri:
Bezkontakta karte ar kodinātu antenu:
Mifare Classic mikroshēma ar antenu atslēgas piekariņa izpildījumā, tīta antena:
Divu bezkontakta interfeisu: 125 kHz HID (iekšējā antena) un 13,56 MHz iClass (ārējā antena) mikroshēmas ar antenām identifikācijas kartes izpildījumā.
HID 125 kHz karte clamshell izpildījumā.
HID ProxPass 125 kHz aktīvā karte (ar barošanu) palielinātam darbības attālumam, parasti izmanto transporta kontroles risinājumos.
Modernās kriptogrāfijas izmantošana un jaudīgs interfeiss sakariem ar pārējo “pasauli” padara viedkarti par teicamu rīku dažādu sistēmu drošības garantēšanai. Var izdalīt 3 galvenos viedkaršu izmantošanas virzienus:
Papildus jāpiemin viens no visplašākajiem viedkaršu pielietojumiem – GSM mobilo telefonu SIM (subscriber identification module) kartes, kas izmanto procesoru viedkartes, bet kartes operacionālās sistēmas nodrošina specifisku standartu izpildi.
Viedkartēs izmantoto procesoru arhitektūra un kartes operacionālās sistēmas tiek speciāli veidotas, lai piekļūšanu aizsargājamiem datiem nodrošinātu tikai autorizētiem lietotājiem. Viedkartes ir ideāli piemērotas medicīniskās informācijas glabāšanai un citai informācijai, kura ir nepieciešama personīgai lietošanai, bet kuru nav paredzēts publiskot. Informācijas fails var tikt aizsargāts ar kriptogrāfijas metodēm, PIN kodiem, biometriskajiem datiem.
Viedkartes tiek plaši izmantotas ne tikai kā lietotāja konfigurējams fails, bet arī kā kādas izdevējiestādes, piemēram valsts iestādes, veidots fails, kura dati pēc kartes izdošanas tiek aizsargāti pret to falsifikāciju. Pasaulē aizvien plašāk nacionālās identifikācijas kartēs tiek izmantotas viedkartes, tā nodrošinot to ievērojami augstāku aizsardzību pret viltošanu.
Elektroniskā paraksta ieviešana un izmantošana prasa privātās atslēgas drošu saglabāšanu. Tikai tad var runāt par drošu elektronisko parakstu. Viedkarte ir ideāla vieta privātās atslēgas glabāšanai un paraksta operācijas veikšanai tieši kartē. Tādā gadījumā nav darbību, kuru rezultātā privātā atslēga parādās ārpus kartes. Standarts ISO7816-8 nosaka, ka ne tikai paraksta funkcijai, bet arī Hash funkcijas pēdējam ciklam ir jāizpildās tieši kartē. Elektroniskā paraksta izpilde tiek veikta tikai pēc lietotāja identifikācijas, parasti izmantojot PIN kodu.
Modernākās viedkartes, kuras satur speciālu kriptogrāfisko līdzprocesoru, veic atslēgu pāra ģenerēšanu tieši kartē, eksportējot atslēgas publisko daļu.
Mūsdienu pasaulē, kur aizvien plašāk izmanto dažādus sakaru kanālus, tajā skaitā potenciāli nedrošus, partneru savstarpējā identifikācija ir ļoti aktuāla.
Karti var identificēt, izmantojot tās unikālos datus, bet dinamiskās autentifikācijas un kartē iebūvēto kriptogrāfijas funkciju izmantošana nodrošina visaugstāko ticamības līmeni. Iespējas izmantot dažādus identifikācijas līmeņus nodrošina plašu funkcionalitāti un vienlaicīgi arī sistēmas ātrdarbību. Šādi līmeņi var būt:
Elektroniskā maciņa pielietojumi ir sarežģītāki par datu nesēju pielietojumiem, turklāt tie obligāti izmanto autentifikācijas funkciju. Elektroniskā maciņa kartes glabā norēķinu bilanci – naudas izteiksmē, kā arī vairākus pēdējos transakciju reģistrācijas failus. Kad banka ir uzlādējusi naudu kartē, tā ir gatava darbam. Tirgotājs var debetēt karti par pirkuma summu tikai pēc kartes un termināla savstarpējās autentifikācijas. Autentifikācijai izmanto kriptogrāfijas līdzekļus. Kartes bilance tiek izmainīta, transakcija saglabāta reģistrācijas failā, kas nav izmaināms no ārpuses. Tirgotājs, piestādot transakciju apstiprinājumu, saņem naudu no elektroniskā maciņa izdevējas bankas. Tipiska elektroniskā maciņa shēma izmanto speciālas tirgotāja viedkartes, kurās tiek uzkrāta saņemtā nauda un veikta transakciju reģistrācija, bet ne vienmēr parastās plastikāta kartes izskatā.
Kartē iestrādāta 256 baitu EEPROM ("Electrically Erasable Programmable Read-Only Memory") ar ieraksta aizsardzības funkciju, mikroshēmas (čipa) izgatavotājs Siemens, nosaukums SLE 4442 un uzlabotais variants SLE 5542
Mikroshēmas īpašības:
Mikroshēma SLE 4442 sastāv no 256 x 8 bitu EEPROM pamatatmiņas datu glabāšanai, 32 bitu tikai ierakstāmas aizsardzības atmiņas (PROM) un drošības loģikas, kas vada ieraksta/dzēšanas darbības datu atmiņā.
Pamatatmiņa tiek nodzēsta un ierakstīta, adresējot baitu pēc baita.
Katrs no pirmajiem 32 baitiem var tikt aizsargāts pret datu izmaiņu, ierakstot tam atbilstošo bitu aizsardzības atmiņā PROM. Katrs datu baits šajā adresu daļā ir saistīts ar vienu bitu aizsardzības atmiņā un tam ir tāds pats kārtas numurs kā datu baitam pamatatmiņā. Vienreiz ierakstīts, šis bits aizsardzības atmiņā nevar tikt nodzēsts, tādējādi, dati nevar tikt pārrakstīti.
Atmiņas dati, izņemot 3 PSC baitus, var tikt nolasīti. Tikai pēc pareiza PSC koda ievades tiek atļautas ieraksta/dzēšanas darbības (arī PSC) līdz barošanas atslēgšanai. Pēc trijām secīgām neveiksmīgām PSC ievadēm, kļūdu skaitītājs neatgriezeniski bloķē tālākos mēģinājumus un aizliedz jebkuru iespēju veikt datu ierakstu un dzēšanu. Ja kļūdu skaitītājs nav pārpildīts, pēc pareizas PSC ievades kļūdu skaitītājs atgriežas nulles stāvoklī.
Papildus aizsardzība - mikroshēmu izgatavotājs (Siemens), nosūtot mikroshēmas karšu izgatavotājam vai pielietojuma izstrādātājam, speciāli paredzētās vietās (pirmajos 32 baitos) ieraksta noteiktus kodus - ICM ("Integrated Circuit Manufacturer ID") un ICT ("Integrated Circuit Type"), kas raksturo mikroshēmas izgatavotāju un tipu, kā arī AID ("Aplication Identifier") - Pielietotāja reģistrācijas numuru.
Mikroshēmas darba temperatūras no - 400C līdz 1250C.
Barošanas spriegums 5 V, patērētā strāva 3 mA (max. 10 mA)
Karte ar mikroshēmu SLE 4442 uzskatāma par vienu no vienkāršākajiem automatizēti nolasāmajiem datu nesējiem. Ierakstāmo datu apjoms nav liels, lai gan ir lielāks nekā magnētiskās lentes lentes kartē. Tajā pašā laikā ierakstītie dati kartē ir aizsargāti pret pārrakstīšanu, ko parastā magnētiskās joslas karte nenodrošina. Tā kā mikroshēmas izmaksas ir nelielas (bet lielākas kā magnētiskās joslas kartēm), kā arī čipkartes nolasītāji ir ievērojami lētāki, salīdzinot ar magnētiskās lentes karšu nolasītājiem, un tajos ir viegli veikt ne tikai informācijas nolasīšanu, bet arī pārrakstīšanu, šādu karšu izmantošanai automatizētas informācijas nolasīšanas un apstrādes sistēmās ir priekšrocības, salīdzinot ar citiem datu nesējiem.
Kopējais lietotājam izmantojamo datu apjoms 1792 biti. Salīdzinājumam, kartē ar magnētisko lentu var ierakstīt 1288 bitus. Salīdzinot ierakstāmās burtzīmes, starpība vairs nav tik liela, jo magnētiskās joslas kartēs lieto specifiskas kodēšanas metodes, kas gan samazina iespējamo burtzīmju variantu skaitu, bet palielina ierakstāmo burtzīmju skaitu līdz 226. Mikroshēmā SLE 4442 atmiņas organizācija pa baitiem ir veidota tā, lai tas ir izdevīgi (bet ne obligāti) izmantot standarta kodu tabulu un iegūt vienā baitā 255 dažādas burtzīmes (tajā skaitā arī latviešu valodas burtus) un nodrošināt informācijas glabāšanas unifikāciju ar standarta PC, bet ierakstāmo burtzīmju skaits ir 224.
Lai palielinātu ierakstāmās informācijas apjomu, ļoti bieži var veikt informācijas formalizāciju. Piemērs formalizācijai - apdzīvoto vietu (līdz pagasta līmenim) kodi. Salīdzinājums, cik aizņem neformalizēts ieraksts un cik formalizēts:
Kods |
Nosaukums |
Līmenis |
Nosaukuma baitu skaits |
Koda baitu skaits |
3200 |
AIZKRAUKLES |
rajons |
11 |
2 |
3201 |
AIZKRAUKLE |
pilsēta |
10 |
2 |
3207 |
JAUNJELGAVA |
pilsēta |
11 |
2 |
3213 |
PĻAVIŅAS |
pilsēta |
8 |
2 |
3242 |
AIVIEKSTES |
pagasts |
10 |
2 |
3244 |
AIZKRAUKLES |
pagasts |
11 |
2 |
3246 |
BEBRU |
pagasts |
5 |
2 |
Piezīme. Desmitnieka skaitīšanas sistēmas cipara attēlošanai bināri decimālajā kodā pietiek ar 4 bitiem (1/2 baita).
SLE 4428
Kartē iestrādāta 1024 baitu EEPROM ar ieraksta aizsardzības funkciju, mikroshēmas (čipa) izgatavotājs Siemens, nosaukums SLE 4428
Mikroshēmas īpašības:
Pielietojumi
Identifikācijas kartes
Līdztekus kartes vizuālajai personalizācijai, čipā var tikt ierakstīta dublējoša informācija, kā arī papildus informācija. Nolasīt informāciju (izņemot PSC kodu) var praktiski jebkurš, izmainīt - tikai zinot PSC kodu. Tā kā ir tikai 3 mēģinājumi ieraksta atšifrēšanai (iespējamās kombinācijas: SLE 4428 - 65 536, SLE 4442 - 16 777 216), tad dati ir droši aizsargāti pret to nesankcionētu izmainīšanu.
Elektroniskā identifikācija
Kartes čipā ierakstītā informācija, kartes nelielās izmaksas (salīdzinot ar procesoru kartēm), lētie nolasītāji ļauj ideāli izmantot šādas kartes automatizētai identifikācijai un automatizētai datu apstrādei. Viens no plašākajiem pielietojumiem - Vācijas obligātās veselības apdrošināšanas kartes. Tajās tiek pielietota mikroshēma SLE4432 - tāda pati kā SLE 4442, tikai bez drošības loģikas. Kartē tiek ierakstīti pacienta administratīvi personīgie dati, valsts sociālās apdrošināšanas iestādes nosaukums un numurs, pacienta biedra kartes numurs. Galvenais ekonomiskais ieguvums - ievērojami samazināta papīra atskaišu plūsma, to aizpildīšanai patērētais darbs, paaugstināta datu ticamība.
Pieejas kontroles sistēmu kartes
Izmantojot mikroshēmā ierakstāmu informāciju un mikroshēmas izgatavotāja pirmajos 32 baitos ierakstīto informāciju (ICM, ICT, AID, ICCF) kartes var izmantot kā piekļuves koda nesēju pieejas kontroles sistēmās.
Elektroniskā maciņa kartes
Izmantojot īpašību, ka ieraksts mikroshēmā tiek atļauts tikai ar kodu, karti var izmantot elektronisku norēķinu veikšanai, kā vienreiz uzlādētu, tā arī atkārtoti uzlādējamu. Ņemot vērā kartes nelielo cenu, tā ir īpaši izdevīga nelielu maksājumu veikšanai. Plaši tiek lietota kā iepriekš apmaksāta karte auto stāvvietu pakalpojumu apmaksai.
Elektroniskās biļetes
Tāpat kā elektroniskā maciņa kartes, piemērotas daudzu vienveidīgu maksājumu veikšanai.
Abonenta kartes
Pastāv iespēja pārrakstīt (papildināt) kartē ierakstāmo informāciju, piemērotas dažāda veida abonementu apkalpošanai.
Biedru kartes
Identifikācijas kartes pielietojums kā dažādu organizāciju biedra karte, ar iespēju papildināt un izmainīt datus, automatizēt balsošanas procedūras utt.
Klientu piesaistes kartes
Viegli izveidot klientu piesaistes sistēmu, kuras pamatelements ir "bonus" punktu krāšana. Nav nepieciešams krāt punktus kopējā datu bāzē un veidot sakaru sistēmas datu apmaiņai, jo karte ir droši aizsargāta pret tās nesankcionētu pārrakstīšanu, un tādejādi, var izmantot "sadalītas datu bāzes principu", kad savāktie punkti vienmēr ir kopā ar klientu. Var veidot uz PC datora bāzētas sistēmas, kā arī sistēmas ar atsevišķi funkcionējošiem termināliem.
Viedkartes funkcionalitāti nosaka iebūvētā mikroshēma. Ņemot vērā to, ka kartei ir jāiztur mehāniska locīšana, mikroshēmas kristāls nedrīkst būt lielāks par 5 x 5 mm jeb 25 mm2. Kristāla izmērs lielā mērā ierobežo mikroshēmas sarežģītību, ko nosaka uz tā izvietoto elementu skaits.
Viedkartēs (smart cards), atšķirībā no citām kartēm ar mikroshēmu, tiek izmantots mikrokontrolers ar maināmu programmatūru. Tā ir ierīce, kur uz viena kristāla atrodas centrālais procesors CPU, pamatsistēmas lasāmatmiņa ROM programmas kodu glabāšanai, operatīvā atmiņa RAM skaitļošanas starprezultātu uzglabāšanai un energoneatkarīga atmiņa EEPROM lietojumprogrammas koda un datu glabāšanai. Papildus uz tā paša kristāla var tikt izvietotas specializētas iekārtas kā kriptoprocesors specializētu operāciju veikšanai, iekārta ievades-izvades operāciju organizēšanai, atmiņas vadības iekārta un citas. Tas, ka visas iekārtas atrodas uz viena kristāla, ievērojami palielina viedkartes drošību, jo praktiski nav iespējams nolasīt mikrokontrollera iekšējos signālus. Sevišķi būtiski tas ir kriptogrāfisko operāciju izpildē, jo neļauj atklāt šifrēšanas atslēgas.
Mikrokontrollera svarīgākā sastāvdaļa ir centrālais procesors CPU (Central Processing Unit), kas nodrošina programmas kodu interpretāciju, izpilda saņemtās instrukcijas, vada pārējos blokus, veic datu loģisko un aritmētisko apstrādi.
Procesora īpašības nosaka tā izveidojums. Būtiski elementi, kas tos atšķir, ir:
Lasāmatmiņa ROM (Read Only Memory) ir ar fotolitogrāfisku masku programmējama atmiņa (pusvadītāja kristāla rūpnieciskās izgatavošanas laikā). ROM tiek ierakstīti kartes operacionālās sistēmas (COS) kodi: pārraides protokolu nodrošināšanai , ISO komandu izpildei, kriptogrāfisko operāciju funkciju izpildei, programmu bibliotēkas, – tie ir kopēji lielam skaitam mikroshēmu. ROM kodu maiņai (piemēram, funkcionalitātes maiņa vai atrastu kļūdu labošana) nepieciešama jaunas maskas izgatavošanu, kas prasa mēnešiem ilgu laiku. Tādēļ pielietojumiem, kuros karšu skaits nav liels, ir izdevīgāk izmantot aprobētas ROM ierakstītas karšu operacionālās sistēmas ar daudzām apgrozībā esošām kartēm, kurām jau ir izstrādātas un pārbaudītas daudzas lietojumprogrammas, piemēram GlobalPlatform specifikācijai atbilstošo Java Card™.
ROM nesatur sistēmai vai lietojumprogrammai specifiskus datus, piemēram šifrēšanas atslēgas, kuras tiek glabātas energoneatkarīgā atmiņā. No otras puses, tā kā viena lasāmatmiņas šūna aizņem ļoti maz vietas uz kristāla, ir izdevīgi maksimāli daudz programmas kodu izvietot tieši ROM.
Operatīvā atmiņa RAM (Random Access Memory) ir ļoti ātra un paredzēta programmas kodu izpildes starprezultātu īslaicīgai uzglabāšanai. Ieraksts RAM ir 1000 un vairāk reizes ātrāks par ierakstu energoneatkarīgā atmiņā. Jo vairāk datu var uzglabāt RAM, jo procesors var ātrāk izpildīt lietojumprogrammas. RAM saturs pazūd, izslēdzot mikroshēmas barošanu. Viena RAM šūna (viena bita glabāšanai) aizņem ~16 reizes lielāku pusvadītāja kristāla laukumu nekā atbilstoša šūna ROM, laukuma ekonomijas nolūkā parasti atmiņas apjoms nav lielāks par 1 Kbaitu, tipiski 256 baiti.
Energoneatkarīgā atmiņa ir paredzēta pašas lietojumprogrammas un kartes datu glabāšanai, to skaitā, šifra atslēgu uzglabāšanai. Viedkartēs visplašāk tiek izmantota EEPROM (Electrically Erasable Programmable Read Only Memory), dažās tiek izmantota Flash EEPROM (digitālajos fotoaparātos visbiežāk lietotā atmiņa). Dati atmiņā saglabājas pēc barošanas izslēgšanas, tipiskais datu saglabāšanas laiks ir 10 gadi. EEPROM ir ierobežots dzēšanas/ieraksta ciklu skaits, parasti 100 000, bet tas ir pietiekošs normālam kartes dzīves laikam. EEPROM ierakstam ir nepieciešams paaugstināts barošanas spriegums (līdz pat 18 V), šodien visām viedkartēm programmēšanas spriegumu iegūst kartes iekšienē un tas nav jāpievada no ārpuses. EEPROM šūna aizņem ~4 reizes lielāku kristāla laukumu kā ROM šūna.
CPU, ROM, RAM un EEPROM ir jebkuras viedkartes mikrokontrollerī, bet papildus var būt ierīces, kuras nodrošina paaugstinātu drošību un lielāku ātrdarbību.
Piemērs - mikroshēma SLE88CX720P
Papildus ir vērts pieminēt, ka mikroshēma strādā ar barošanas spriegumiem no 1.62 V līdz 5.5 V, temperatūru diapazonā no –25OC līdz +85OC. Mikroshēmai ir optimizēta patērētā jauda, kas atļauj to izmantot gan kā ar kontaktu, tā arī bezkontaktu interfeisu. Katrai mikroshēmai ir unikāls identifikācijas numurs.
Mūsdienu viedkartes funkcionalitāte nav iedomājama bez plašas kriptogrāfijas pielietošanas. Kriptogrāfijas uzdevums ir nodrošināt informācijas slepenību, kā arī autentificēt komunikāciju partneru “īstumu”.
Kriptogrāfiskie algoritmi dalās simetriskajos un asimetriskajos. Simetriskie algoritmi šifrēšanai un atšifrēšanai izmanto vienu un to pašu atslēgu. Asimetriskie algoritmi izmanto atšķirīgas atslēgas šifrēšanai un atšifrēšanai. Parasti simetriskie algoritmi prasa daudzkārt mazāku skaitļošanas jaudu un laiku par asimetriskajiem. Asimetrisko algoritmu ideju 1976. gadā izvirzīja Whitfield Diffie un Martin E. Hellman.
Mūsdienu viedkartēs izmantotie kriptogrāfiskie algoritmi balstās uz Auguste Kerckhoff principu. Tas nosaka, ka algoritms pats par sevi nav būtisks slepenības nodrošināšanai, bet būtiskas ir tajā izmantotās atslēgas. Tādejādi to var tikt izmantoti vispārzināmi algoritmi, daudzi ir pat standartizēti, kas paver plašas iespējas izmantot kriptogrāfiju atvērtās sistēmās. Algoritmiem, kuri paši par sevi nav slepeni, ir jābūt lielam skaitam izmantojamo atslēgu. Viens no šifrētās informācijas “uzlaušanas” paņēmieniem ir brutāla visu iespējamo atslēgu izmēģināšana, jo vairāk atslēgu, jo ilgāks laiks nepieciešams rezultāta iegūšanai.
Ar kriptogrāfiju tieši saistīta ir kriptoanalīze, zinātne, kuras uzdevums ir “uzlauzt” esošās kriptogrāfiskās sistēmas, nepārlasot visas iespējamās atslēgas. Analīzes metodes ir dažādas, sākot no matemātiskās analīzes un beidzot ar šifrēšanai/atšifrēšanai nepieciešamā laika mērījumiem un analīzi. Vispārzināmu algoritmu kriptoanalīze nodrošina kriptogrāfisko sistēmu drošību, jo atklāj to potenciāli vājos punktus.
Viedkartēs ir būtiski, lai algoritma izpildes laiks nebūtu atkarīgs no sākuma teksta, atslēgas un kriptogrammas.
Veidojot kriptogrāfiskās sistēmas, ir jāņem vērā, ka sistēma nebūs droša ilgstoši (ja iebrucējam ir pietiekoši ilgs laiks – gadi, pietiekošas skaitļošanas jaudas un neierobežots mēģinājumu skaits), bet tā jāveido tā, lai atslēgu “dzīves laiks” būtu īss un brutāla sistēmas uzlaušana nedod rezultātu izmantošanai nākotnē.
DES (arī DEA – data encryption algorithm, par DES - data encryption standard tas kļuva pēc standartizācijas, lieto abus apzīmējumus) ir viens no pazīstamākajiem un visplašāk lietotajiem simetriskajiem algoritmiem. Algoritmu izstrādāja IBM sadarbībā ar ASV Nacionālo Standartizācijas biroju un tas tika publicēts kā ASV standarts (FIPS pub 46) 1977. gadā. Sākotnēji algoritms tika radīts, lai to realizētu aparatūras veidā, programmas realizācija ir sarežģītāka. Algoritms līdz šim nav uzlauzts, vienīgais veids, kā var atšifrēt kriptogrammu nezinot šifra atslēgu, ir pārlasot iespējamās atslēgas. Šodien, sakarā ar to, ka ir pieejama speciāla atslēgu pārlasīšanas aparatūra, DES tiek aizvietots ar 3DES un AES.
DES ir simetriska datu bloku šifrēšanas metode, kas apstrādā datus, sadalītus 64 bitu (8 baitu) blokos. Šifrēšanas rezultātā iegūtā kriptogramma arī ir 64 bitus garš bloks. Lai atšifrētu kriptogrammu, ir jāizmanto atšifrēšanas algoritms un tā pati šifra atslēga. Atslēgas garums ir 64 biti, lai gan reāli tiek izmantoti 56 biti – katra baita jaunākais bits kalpo paritātes kontrolei un šifrēšanas operācijā tiek ignorēts.
Atslēga var būt jebkurš 56 bitu garš gadījuma skaitlis, ir neliels skaits “vāju” atslēgu, bet to izmantošanu var viegli ierobežot. Algoritma slepenība ir bāzēta uz šifra atslēgām.
DES izmanto tikai vienkāršas aritmētiskās un loģiskās operācijas, tāpēc algoritmu ir viegli realizēt aparatūras veidā. Sarežģītāk to ir realizēt programmā, kas prasa vairāk laika šifrēšanas operācijai. Lai DES algoritma programmu realizētu viedkartē, ir nepieciešams ~ 1 Kbaits atmiņas programmas koda glabāšanai, kā arī pēc iespējas lielāka operatīvā atmiņa (RAM), protams viedkartes mērogos.
DES princips balstās uz šifrēšanas pamattehnoloģiju – datu sajaukšanu (confusion) un izkliedēšanu (diffusion). Datu sajaukšana nozīmē, ka kriptogrammas statistika ir saistīta ar sākuma teksta statistiku tik sarežģītā veidā, ka uzbrucējs nevar gūt no tā noderīgu informāciju. Datu izkliedēšana nozīmē, ka katrs sākuma teksta bits un katrs atslēgas bits var veidot tik daudz kombināciju, cik vispār ir iespējamo bitu.
Algoritma realizācijas shēma redzama zīmējumā. DES pamatā – DES aplis veidojas, sākuma tekstam pielietoto pārmainīšanu, kurai seko aizvietošana, šīs operācijas vada subatslēga. DES izmanto 16 apļus (round) – tas nozīmē, ka katram sākuma tekstam viena un tā pati operācija tiek veikta 16 reizes. Katrā aplī izmanto savu subatslēgu Ki.
DES apļu struktūra.
DES algoritma izpildes pirmā fāze ir sākotnējā permutācija. Izmantojot zināmu datu pārmainīšanas tabulu, sākuma teksta bloka biti tiek samainīti vietām – piemēram 58. bits kļūst par pirmo, 50. bits par otro, 42. bits par trešo utt. Sākotnējā permutācija IP (initial permutation) un beigu permutācija IP-1, tas pats apgrieztā secībā pēc visu DES apļu pabeigšanas, praktiski neiespaido algoritma drošību un pamatā ir veidots, lai atvieglotu datu ielādi specializētās mikroshēmās. Šīs permutācijas ir neērti un laikietilpīgi veikt programmā ,bet vienkārši aparatūras risinājumos. Virkne DES programmas realizāciju to neizmanto. Šādu realizāciju nedrīkstētu saukt par DES, jo algoritms ir standartizēts.
Pēc sākotnējās permutācijas, izejas bloks tiek sadalīts divās 32 bitu garās daļās – labajā (R) un kreisajā (L). Tās tiek izmantotas pirmajā DES aplī. Funkcijas f rezultāts ar XOR tiek kombinēts ar kreisās puses 32 bitiem un tā rezultāts kļūst par labās puses izejas datiem nākošajā aplī, labās puses dati Ri nākošajā aplī kļūst par kreisās puses Li+1 datiem. Šāda operācija tiek atkārtota 16 reizes, veidojot 16 DES apļus. Atšifrēšanas algoritms praktiski ir tāds pats, tikai mainās subatslēgu KI pielietošanas kārtība.
Katrā aplī izmanto savu 48 bitu subatslēgu K0 … K15. Subatslēgas ģenerē no šifra atslēgas nobīdot tās 56 bitus pēc algoritma.
Funkcijas f realizācija parādīta zīmējumā. Sākumā Ri pielieto paplašinošo pārmainīšanu, pārveidojot to par 48 bitu skaitli. Rezultātam izmantojot izslēdzošais VAI (XOR) loģisko operāciju ar 48 bitu subatslēgu iegūstam 48 bitu rezultātu. To sadala 6 bitu blokos un veic S0…S7 aizvietošanu, kopā 8 S bloki, iegūstot 32 bitu rezultātu. Pēc P – pārmainīšanas funkcija f ir izpildīta un XOR ar Li sagatavo datus nākošajam DES aplim. Gan paplašinošā pārmainīšana, gan S - aizvietošanas bloki un P - pārmainīšanas bloks ir standartizētas tabulas, kas nosaka katram ieejošajam bitam atbilstošo izejošā bita vietu.
Zīmējuma labajā pusē attēlots subatslēgu Ki iegūšanas algoritms. Šifra atslēgas 56 bitus sadala uz pusēm un veic to nobīdi. Nobīdes lielums katram DES aplim ir atšķirīgs. Pēc saspiedošās pārmainīšanas pielietošanas iegūstam 48 bitu subatslēgu Ki. Līdzīgi kā iepriekš arī saspiedošā pārmainīšana ir standarta tabula.
DES funkcijas struktūra.
Šifrējot sākuma tekstu kurš ir garāks par vienu šifrēšanas bloku, var tikt lietoti dažādi paņēmieni – metodes. Lai būtu iespējams kriptogrammu atšifrēt standartizētas ir arī tās. Saskaņā ar standartu FIPS pub 81, DES, tāpat kā citi bloku šifrēšanas algoritmi, var tikt izmantots 4 dažādos veidos (mode): ECB (electronic code book), CBC (cipher block chaining), OFB (output feedback) un CFB (cipher feedback). Pēdējos divus viedkaršu sistēmās pielieto reti.
ECB katrs izejas teksta bloks neatkarīgi no citiem tiek šifrēts ar vienu un to pašu atslēgu. Tas ir vienkāršākais DES lietošanas veids.
ECB darba veids bloku šifrēšanas algoritmiem.
CBC veidā šifrēšanas rezultāts var tikt izmantots tikai kā viens vesels, nevis kā atsevišķi bloki un kriptogrammā pat pilnīgi vienādi sākuma teksta bloki dod pilnīgi atšķirīgu rezultātu. Pirms šifrēšanas, pirmajam sākuma teksta blokam tiek veikta XOR loģiskā operācija ar inicializācijas vektoru, sākuma teksta nākošajam blokam veic XOR ar iepriekšējā bloka kriptogrammu utt.. Parasti sākuma vektors ir nullvektors, bet lieto arī gadījuma skaitļus.
CBC darba veids bloku šifrēšanas algoritmiem.
DES algoritma izpilde viedkartē ar 3,5 MHz takts frekvenci aizņem 17 ms vienam 8 baitu blokam, ar 4,9 MHz takti – 12 ms. DES realizēts aparatūras veidā veic viena bloka šifrēšanu 64 ns.
3-DES ievērojami palielina DES algoritma drošību un palielina atslēgu telpu, izmantojot trīs DES šifrēšanas operācijas pēc kārtas. Sākuma teksts tiek šifrēts ar 1. atslēgu, pēc tam atšifrēts ar 2. atslēgu un vēlreiz šifrēts ar 1. atslēgu. Atšifrēšana notiek samainot vietām operācijas.
Trīskāršā DES struktūra.
Ja visas atslēgas ir identiskas, tad šifrēšanas rezultāts ir tāds pats kā vienkāršā DES gadījumā. 3‑DES, kurā mijas šifrēšana un atšifrēšana, ir daudz drošāks par divkāršu šifrēšanu, lai gan kopējais atslēgas garums ir tāds pats. Pie tam 3‑DES ir savietojams ar vienkāršo DES šifrēšanu un prasa mazāk laika nekā citu algoritmu, kuros izmanto tik pat garas atslēgas, izpilde. Tāpēc šodien viedkartēs pārsvarā izmanto 3‑DES DES vietā.
Ir diezgan daudz simetrisko algoritmu, bet viedkartēs bez DES vēl ir sastopams algoritms IDEA.
Šodien arvien vairāk, un ne tikai viedkartēs, izmanto AES šifrēšanas sistēmu (sākotnēji publicēta kā Rijndael algoritms un kuru izstrādājuši Beļģu kriptogrāfi Rijmen un Daemen), kura ir standartizēta un akceptēta daudzās valstīs (arī ASV) un nodrošina daudz plašāku atslēgu telpu (izmanto 128, 192 vai 256 bitu atslēgas).
Asimetriskie algoritmi šifrēšanai - atšifrēšanai izmanto divas dažādas atslēgas- atslēgu pāri. Viena no tām ir publiska – vispārzināma, otra, privātā – slepena.
Zīmējums 3.1‑6. Asimetriskās šifrēšanas princips.
Sākuma tekstu var šifrēt ar vispārzināmu publisko atslēgu un tikai adresāts, kuram ir atslēgu pāra otra puse – privātā atslēga, varēs to izlasīt. Asimetriskās šifrēšanas gadījumā atkrīt problēmas, kas ir saistītas ar drošu un slepenu simetrisko atslēgu izplatīšanu. Asimetriskā kriptogrāfija rada elektroniskā paraksta iespējas, kad tā patiesumu var pārbaudīt ikviens.
RSA ir populārākais asimetriskās šifrēšanas algoritms, nosaukts tā izstrādātāju: Ronald L. Rivest, Adi Shamir un Leonard Adleman vārdā. Algoritms balstās uz lielu pirmskaitļu aritmētiku. Ir relatīvi viegli sareizināt divus lielus pirmskaitļus, bet ir ļoti grūti reizinājumu sadalīt pirmreizinātājos, jo vēl līdz šim tādam nolūkam nav izstrādāts efektīvs algoritms. Latvijā izmantotā drošā elektroniskā paraksta sistēma (Latvijas Pasts, LVRTC) izmanto 2048 bitu RSA atslēgas. Atslēgas garuma palielinājums par 15 bitiem dubulto laiku, kas nepieciešams rezultāta iegūšanai.
Viedkartēs izmantoto procesoru operatīvās atmiņas apjoms ir neliels un nepietiekams lielo starprezultātu glabāšanai. Tomēr ir metode, ko sauc par moduļa eksponencēšanu, kad starprezultāts nav garāks kā modulis. Tā ir metodes priekšrocība, kas ļauj realizēt algoritmu ar mazāku soļu skaitu un mazāku starprezultātu apjomu. Algoritma drošību tas neiespaido.
Algoritma priekšrocība ir iespēja variēt atslēgu garumus – ja ir nepieciešama lielāka drošība – var izvēlēties garāku atslēgu. Plaši lietotas tiek lietotas 1024 un 2048 bitu atslēgas. Modernākie viedkaršu procesori jau var izmanto 4096 bitu atslēgas. Tomēr šifrēšanas operācija ir pietiekoši darbietilpīga, 3,5 MHz takts frekvences procesoram tam nepieciešamas 2-3 sekundes 1024 bitu atslēgai. Viedkarte ar specializētu kriptoprocesoru, kas ir speciāli paredzēts ātrai eksponencēšanai, to paveiks ātrāk. Arī lietojumprogrammas aizņemtais atmiņas apjoms būs mazāks.
ASV ir elektroniskā paraksta standarts DSS – digital signature standard (FIPS pub 186), kas nosaka, ka ziņojumu parakstīšanai ir jāizmanto algoritms DSA - digital signature algorithm. Eiropas Savienības elektroniskā paraksta tehniskā specifikācija pieļauj divu algoritmu izmantošanu – RSA un DSA.
DSA drošība balstās uz lielu skaitļu diskrētu logaritmēšanu. DSA realizācija ir ievērojami sarežģītāka un daudz grūtāk realizējama viedkartēs.
Daudzi viedkaršu kriptoprocesori lieto asimetrisko kriptogrāfiju, kas izmanto eliptiskās līknes. To priekšrocība ir iespēja izveidot ātras publisko atslēgu sistēmas ar nelieliem atslēgu garumiem 130 – 200 bitu.
Asimetriskās kriptogrāfijas sarežģītības un laika patēriņa dēļ nav reāli šifrēt visu ziņojumu kopumā. Asimetrisko kriptogrāfiju izmanto, lai slepeni nosūtītu otrai pusei simetriskās sesijas šifrēšanas atslēgas, jo tās ir salīdzinoši īsas: 64 –256 biti. Asimetrisko kriptogrāfiju izmanto autentifikācijai, kad šifrēts tiek datora nosūtītais gadījuma skaitlis. Citos gadījumos tiek izmantots elektroniskā paraksta princips – izejas ziņojums tiek reducēts līdz fiksētam garumam izmantojot Hash funkcijas.
Hash funkcija ir viena virziena funkcija, kas iegūst fiksēta garuma izejas vērtību no brīva garuma sākotnējās vērtības kompresētā un neatgriezeniskā formā. Neatgriezeniskums nozīmē, ka no rezultāta nav iespējams iegūt sākotnējo vērtību. Hash funkcija pamatā tiek izmantota elektroniskā paraksta sistēmās, lai iegūtu dokumenta daidžestu, jeb kontrolskaitli , ko pēc tam šifrē ar parakstītāja privāto atslēgu. Hash funkcijām ir nepieciešamas sekojošas īpašības:
Ir zināmas daudzas Hash funkcijas, plašāk lietotās ir SHA-1, kas ir noteikta kā ASV elektroniskajam parakstam izmantojamais daidžesta algoritms un ir standartizēts (FIPS pub 180-1) un MD5. Abu algoritmu izmantošana ir atļauta Eiropas Savienības elektroniskā paraksta tehniskā specifikācijā.
Kriptogrāfisko atslēgu pārvaldes mērķis ir novērst vai ierobežot iespēju, ka viedkartes Sistēma tiek izpostīta, ja viena vai vairākas atslēgas kļūst vispārzināmas.
Viena no iespējām kā paaugstināt sistēmas drošību, ir izmantot lielāku atslēgu skaitu, sadalīt autentifikācijas procesus pa karšu pielietojumiem, mainīt Sistēmā izmantotās atslēgas. Protams, tas prasa viedkartes atmiņas papildus resursus.
Viedkarte, atšķirībā no termināla, ir brīvā apgrozībā un jebkurš var to mēģināt analizēt un uzlauzt. Ja karte nesatur galvenās atslēgas, bet tikai atslēgas, kas var tikt iegūtas no kartes datiem, tad datu neautorizētas nolasīšanas un izmainīšanas varbūtība ir minimāla.
Sekundārās atslēgas tiek iegūtas izmantojot kriptogrāfijas algoritmus. Parasti tas ir DES (modificēts kā viena virziena algoritms) vai 3DES. Izmantojot galveno atslēgu un kartes individuālos datus iegūst vienu (un tikai vienu) individuālu, kartei piesaistītu atslēgu.
Lai samazinātu risku, ka visa sistēma kopumā tiek izpostīta, tiek plaši izmantots, ka katram kartes pielietojumam ir sava atslēga - piemēram, autentifikācijai, drošu transakciju apstiprinājumam, sakaru kanāla šifrēšanai. Tas parasti notiek izmantojot katra uzdevuma individuālās atslēgas iegūšanai savu galveno atslēgu.
Ir nepareizi apgādāt viedkarti ar vienu atslēgu komplektu visam kartes dzīves laikam. Pieņemot iespējamību, ka galvenā atslēga tiek izskaitļota vai arī kļūst citādi atklāta, tad visa Sistēmas infrastruktūra ir jāaptur, karšu izdevējam ir jāatsauc visas kartes. Atsevišķos gadījumos tas pat nav izdarāms. Šodienas sistēmās tiek veidotas iespējas, lai varētu pārslēgties uz jaunu atslēgu paaudzi. Šāda pārslēgšanas var tikt realizēta piespiedu kārtā vai arī pēc noteikta (mainīga) grafika. Tā kā galvenās atslēgas atrodas tikai terminālos, tad tikai tie ir jāapgādā ar jaunām, slepenām galvenajām atslēgām.
Dažos pielietojumos, galvenokārt slepenu datu pārraidei un elektroniskajiem maksājumiem, izmanto dinamiskās jeb sesiju atslēgas. Viena no pusēm ģenerē gadījuma skaitli, dara to zināmu otrai pusei, un, izmantojot sekundārās atslēgas tiek iegūta sesijas simetriskā atslēga (katrā pusē atsevišķi). Šīs atslēgas tālāk tiek izmantotas datu apmaiņas sesijas sakaru šifrēšanai.
Ir iespējams arī sarežģītāks sesijas atslēgu iegūšanas veids (specificēts X9.17). Tam ir nepieciešams kāds sesijas vai laika atkarīgs skaitlis Ti, atslēga, kas tiek lietota tikai šim mērķim KGEN. Jebkura no pusēm var izveidot sesijai nepieciešamo atslēgu no sākuma atslēgas Ki. Viedkaršu lietojumprogrammu sesijas atslēgas tiek lietotas ļoti īsu brīdi – no dažiem simtiem ms līdz dažām sekundēm, pēc tam tās tiek izdzēstas.
Jebkurā datu pārraidē ir nepieciešama pārbaude, vai pārraidītie dati un uztvertie dati sakrīt un tie nav nejauši vai apzināti izmainīti datu pārraides kanālā. Ziņojumu integritātes pārbaudei tiek izmantoti dažādi veidi, sākot no vienkāršiem kļūdu detektēšanas kodiem ECC (Error Detection Code) līdz ziņojumu autentifikācijas kodiem MAC (Message Authentication Code), pēdējie izmanto kriptogrāfijas līdzekļus ziņojuma autentiskuma nodrošināšanai.
Visvienkāršākais un plaši lietotais ir paritātes bita pievienošana katram ziņojuma baitam. Paritātes bits tiek pievienots datu baitam atkarībā no vieninieku skaita datu baitā (pāris vai nepāris). Ja pārsūtīšanas laikā baitā rodas kļūda vienā bitā, tad mainās vieninieku skaits, ko viegli atklāj paritātes bits. Tā kā datu apmaiņa un uzglabāšana parasti tiek organizēta baitos, tad papildus bita pievienošana prasa papildus vietu. Paritātes bita izmantošana ir izdevīga, ja datu elements ir 7 biti.
Viedkartēs plašāk tiek lietota XOR (izslēdzošā VAI) kontrolsumma, bieži saukta par longitudinālās redundances pārbaudi (LRC – Longitudinal Redundancy Check) un cikliskās redundances pārbaude (CRC – Cyclic Redundancy Check).
LRC veido pirmajam datu baitam veicot XOR ar otro baitu, rezultātam atkal veic XOR ar trešo baitu utt. Iegūtā kontrolsumma tiek pievienota datu masīvam. Ja vēlreiz veic analoģisku operāciju datu masīvam kopā ar kontrolsummu, rezultāts būs 0.
CRC tiek iegūta cikliskā 8 vai16 bitu bīdes reģistrā, kura atgriezenisko saiti vada polinoms. Matemātiski tas nozīmē, ka datu masīvs tiek uzskatīts par lielu skaitli un dalīts ar polinomu. Atlikums ir kontrolsumma. Efektīvi metode ir pielietojama datu masīviem līdz 4 Kbaitiem. Lai veiktu pārbaudi, ir jāzina polinoms un bīdes reģistra parametri. Tā kā operācija tiek veikta bitu līmenī, metode ļauj atklāt bitu savstarpējās secības izmaiņas baitā, kā arī baitu secības izmaiņas.
LRC un CRC ļauj noteikt, vai saņemtie dati sakrīt ar nosūtītajiem, bet neļauj pārliecināties par to autentiskumu – to, ka izsūtītie dati nav aizvietoti ar citiem. Ļoti bieži pārliecība par datu autentiskumu un integritāti (pārliecību, ka dati nav netīši bojāti vai ļaunprātīgi pārveidoti) ir svarīgāka par datu konfidencialitāti. Metode datu integritātes nodrošināšanai ir MAC (Message Authentication Code) pievienošana ziņojumam. MAC veidošanai izmanto kriptogrāfijas algoritmus ar slepenām atslēgām, kuras ir zināmas tikai abām pusēm.
MAC veidošanai var izmantot jebkuru algoritmu un pēc būtības tas ir līdzīgs ziņojuma elektroniskajam parakstam, tomēr praksē bieži tiek izmantots DES. Simetriskā šifrēšanas algoritma izmantošana nodrošina lielu operācijas izpildes ātrumu un MAC pārbaude tiek veikta tikai divpusēji, nevis daudzpusēji. Līdz ar to var izmantot tikai abām pusēm zināmu slepenu atslēgu.
MAC procedūra
DES šifrēšana CBC veidā sasaista visus blokus vienā ķēdē, jo nākošā bloka kriptogramma ir atkarīga no iepriekšējā rezultāta. Tāpēc kā MAC var izmantot tikai DES šifrēšanas rezultāta pēdējo bloku, tā samazinot pārraidāmo datu apjomu. Pats ziņojuma teksts tiek pārraidīts atklātā veidā.