Seminarski Rad - Sigurnosni Mehanizmi Za Rad Sa Smart Karticama

Univerzitet u Beogradu
Fakultet organizacionih nauka

Laboratorija za elektonsko poslovanje
SIGURNOSNI MEHANIZMI ZA RAD SA

SMART KARTICAMA
Seminarski rad
Branislav Stajčić
Beograd, 2010
Sigurnosni mehanizmi za rad sa smart karticama
SADRŢAJ
1. UVOD 6
1.1 Kratak istorijat upotrebe kartica 6
2. TIPOVI KARTICA 9
2.1 Uvod 9
2.2 Embosirane kartice 9
2.3 Kartice sa magnetnom trakom 9
2.4 Smart kartice 10
2.4.1 Memorijske smart kartice 11
2.4.2 Smart kartice sa mikroprocesorom 12
2.4.3 Contactless ili smart kartice bez kontaktnih površina 13
3. TEHNIKE ZAŠTITE 14
3.1 Identifikacija korisnika 14
3.2 PIN broj 14
3.3 Biometrijski metodi 15
3.3.1 Osnovni principi biometrije 15
3.3.2 Fiziološke osobine 16
3.3.3 Bihejvioralne osobine 16
4. SIGURNOSNI MEHANIZMI SMART KARTICA 17
4.1 Uvod 17
4.2 Podele i klasifikacije 18
4.2.1 Klasifikacija napada i napadača 18
4.2.1.1 Klasifikacija napada 18
-3-
4.2.2.2 Klasifikacija napadača 20
4.3 Tipovi napada u različitim fazama životnog ciklusa kartice 22
4.3.1 Napadi i sigurnosne mere tokom faze razvoja kartice 22
4.3.1.1 Razvoj mikrokontrolera smart kartice 22
4.3.1.2 Razvoj operativnog sistema smart kartice 23
4.3.2 Napadi i sigurnosne mere tokom faze proizvodnje kartice 24
4.3.3 Napadi i sigurnosne mere tokom faze upotrebe kartice 25
4.4 Napadi na fizičkom nivou 26
4.4.1 Statička analiza mikrokontrolera 27
4.4.2 Dinamička analiza mikrokontrolera 29
4.4.3 Manipulacije mikrokontrolerom 32
4.4.4 Operativni sistemi smart kartica 33
4.4.5 Zaštitne komponente aplikacija 34
4.4.6 Primena kriptografije 35
5. OBLASTI PRIMENE SMART KARTICA 36
5.1 Bezbednost i EMV transakcije 37
5.2 Primena smart kartica u drugim oblastima 38
6. CASE STUDY – Kompanija GTT 39
6.1 Profil klijenta GTT 39
6.2 Bezbednost 40
6.3 Digitalni potpis 40
6.4 Mrežni pristup 41
6.5 Sumiranje zahteva 41
6.6 Obavezni preduslovi 42
-4-
6.7 Opcioni preduslovi 43
6.8 Analiza zahteva za ponudom 43
6.8.1 Izbor smart kartice 43
6.8.2 Oblast primene 45
6.8.3 Pristup radnim jedinicama 45
6.8.4 Radnička kantina i aparati za kafu 45
6.8.5 Sigurnost elektronskog novčanika 46
6.8.6 Digitalni potpis 47
6.8.7 Pristup mrežnim resursima 47
6.8.8 Medicinski podaci 48
7. ZAKLJUĈAK 49
8. KORIŠĆENA I REFERENTNA LITERATURA 50
-5-
1. Uvod
1.1 Kratak istorijat upotrebe kartica

Upotreba plastičnih kartica počinje u Americi ranih pedesetih godina XX veka. Niska
cena PVC materijala učinila je upotrebu plastičnih kartica ekonomičnijom, a ujedno bile
su daleko izdržljivije i otponije na svakodnevnu upotrebu od dotadašnjih papirnih
kartica.
Prva plastična kartica koja je ikada izdata pripadala je Diners Club-u. Bila je namenjena
elitnom sloju ljudi, predstavljala je statusni simbol i tako omogućavala svom vlasniku da
trošak plati svojim „dobrim imenom“ umesto gotovinom, kao ostali.
Ulazak Vize i MasterCard-a u ovaj segment, dovodi do veoma brzog razvoja ovog
„plastičnog novca“ u formi plastičnih kartica. Sa par godina zakašnjenja do širenja ovih
kartica dolazi i u ostalim delovima sveta.
U početku su funkcije ovih kartica bile veoma jednostavne. Služile su uglavnom za

memorisanje podataka uz osnovnu zaštitu. Na telu kartice se nalazilo ime izdavača
kartice, i embosirano ime vlasnika sa njegovim potpisom.
Zaštita identiteta se zasnivala samo na vizuelnim elementima odštampanim na kartici i

potpisom vlasnika kartice. Ovo je za posledicu imalo da pouzdanost sistema značajno
zavisi od sposobnosti osobe koja bi proveravala ispravnost identita vlasnika kartice.
Ovo nije predstavljalo veliki problem u početku kada je kartica predstavljala statusni
simbol, ali kasnije sa početkom masovne upotrebe platne kartice, stari sistemi zaštite
više nisu bili dovoljni.
Prvo unapreĎenje sigurnosti kreditnih kartica došlo je u vidu pojave magnetne trake na
poleĎini kartice koja je sadržalai i digitalni zapis čitljiv od strane specijalnog čitača. Ovo
je smanjilo upotrebu papirnih slipova-recepata. Mada je kontrola potpisa vlasnika kartice
i dalje postojala, uveden je nov način identifikacije korisnika i to putem specijalnog PIN
(Personal Identification Number) broja, a svaka obrada transakcije se vršila
elektronskim putem i zapisivala na samoj kartici.
Ipak i nova tehnologija upotrebe kartica imala je svoje slabosti, pošto su podaci
sačuvani u magnetnoj traci na poleĎini svake kartice lako mogli da se menjaju, čitaju,
upisuju ili brišu i to od strane bilo koga ko bi imao odgovarajuću opremu na
raspolaganju.
Dati način nije pružao dovoljno zaštite za čuvanje vitalnih podataka na kartici. Primera
radi, većina kartica sa magnetnom trakom koristi aktivnu konekciju za prenos podataka
ka centrali za obradu transakcija, bez obzira na sve rizike koje ovaj način može da ima
na bezbednost podataka i na same troškove prenosa podataka.
-6-
Istovremeno, tražila su se nova rešenja koja iziskuju manje troškove, bezbednija su i

mogu da obave obradu transakcije “off-line” ili bez korišćena aktivne konekcije za
prenos podataka.
Razvoj smart kartica išao je u korak sa naglim razvojem sistema za elektronsku obradu
podataka tokom sedamdesetih godina prošlog veka. Nagli razvoj u polju
mikroelektronike omogućio je da integraciju logike za obradu informacija sa
elektronskim elementima za skladištenje informacija u jednom čipu površine par
kvadratnih milimetara.
Ideja za korišćenje integralnog kola na kartici za identifikaciju korisnika, pojavila se prvi

put u patentnom radu nemačkih pronalazača Jurgen Dethloff-a I Helmuta Grotrupp-a još
davne 1968 godine. Tokom narednih godina ova ideja je postepeno usavršavana, kao u
slučaju Ronalda Morena i njegovog patentnog rada u Francuskoj 1974 godine, a
ovakvom razvoju je pogodovala sve veća dostupnost sve narednijih elektronskih
komponenti.
MeĎutim, do pravog razvoja nove tehnologije dolazi tek 1984 godine u Francuskoj, kada
je francuski PTT uspešno izveo probni projekat sa smart karticama za telefoniranje.
Nove kartice su odmah iskazale svoju izdržljivost na razne uticaje tokom upotrebe kao i
nivo pouzdanosti koji omogućavaju za čuvanje osetljivih podataka.
Sličan pilot projekat je izveden i u Nemačkom tokom 1984-85 godine, gde su korišćene
telefonske kartice zasnovane na različitim tehnologijama. Uporedu su isprobavane
kartice sa magnetnom trakom, hologramske ili optičke kartice kao i smart kartice. Kao
pobednik u ovom takmičenju, na prvo mesto su došle smart kartice. Pokazalo se da one
pored velike fleksibilnosti na svakodnevnu upotrebu nude i veliki kapacitet za nove,
raznovrsne uloge.
Kako je čip na telefonskim karticama korišćenim u nemačom projektu zasnovan na

naprednijem EEPROM1 čipu od EPROM čipa u francuskoj varijanti, pojavio se problem
kompatibilnosti ovih kartica, pa tako i dan danas Francuzi i Nemci svoje telefonske
kartice ne mogu da koriste u susednoj zemlji.
Elektronika na ovim telefonskim karticama zasnovana je na jednostavnijim

memorijskom kolima sa sigurnosnom logikom koja sprečava menjanje vrednosti
preostalog kredita na kartici.
U tom smislu, mikroprocesorski čipovi su primetno veći i kompleksniji čipovi od onih

prvih. Prvi put su korišćeni masovnije u polju komunikacija pojavom usluge nemačkog
poštanskog sistema za korišćenje analogne mobilne telefonske mreže (C-Netz) tokom
1988 godine, a razlog za uvoĎenje kartica sa mikroprocesorskim čipom bio je povećanje
broja prevara sa karticama sa magnetnom trakom u to vreme.
1
Electrically Erasable ProgrammableRead-Only Memory predstavlja tip ROM memorije čiji sadržaj je
moguće obrisati električnim impulsima, bez upotrebe UV svetla, a što je bio slučaj kod EPROM memorije.
-7-
Kasnije je pozitivno iskustvo sa analognim mobilnim mrežama dovelo do korišćenja

smart kartica i u digitalnim mobilnim mrežama GSM kada se ovaj sistem prvi put
pojavio u Evropi tokom 1991 godine.
Proboj u korišćenju smart kartica je išao nešto sporije u finansijskom sektoru i to zbog
veće složenosti u poreĎenju sa telefonskim karticama. Može se reći da je razvoj
bankarskih smart kartica više zasnovan na razvoju moderne kriptografije.
Brzim razvojem elektronske obrade podataka od šezdesetih godiina pa do danas,

kriptografija je napravila veliki skok u svom razvoju. Mogućnosti današnjeg hardvera i
softvera učinile su mogućim implementaciju kompleksnih, matematički sofisticiranih
algoritama do nivoa koje ranije nije bilo moguće postići. Uz pomoć modernih
kriptografskih procedura, izdržljivost sigurnosnih mehanizama može i matematički
odrediti.
Tokom svog razvoja smart kartice su se pokazale kao pouzdan medijum. Nude visok
nivo zaštite podataka zasnovan na kriptografiji i dostupne su svakome. Malih su
dimenzija i lake su za upotrebu, mogu se nositi sa sobom i korisiti svakodnevno.
Pomenute osobine su ih učinile kao logičan izbor za raznovrsne upotrebe, izmeĎu
ostalog i kao bankarskih kartica, pogotovo zbog sve većih bezbednostnih rizika kojima
su izložene kartice sa magnetnim zapisom.
Još jedan veliki korak ka budućoj sveopštoj upotrebu smart kartica, bila je EMV
specifikacija iz 1994 godine, kojima su ozvaničeni zajednički napori Europay-a,
MasterCard-a i Visa-e u postizanju zajedničke kompatibilnosti budućih smart kartica
izdatih od strane ove tri velike orgranizacije. Ta specifikacija sadrži i detaljne opise i
karakteristike integrisanih mikroprocesorskih čipova u ovim karticama.
Pored nabrojanih primera upotrebe i mogućih upotreba u praksi, smart kartice takoĎe
mogu imati i vodeću ulogu u uvoĎenju elektronskog potpisa. U skorije vreme nekoliko
evropskih zemalja je iniciralo uvoĎenje sistema elektronskog potpisa, nakon što je ovaj
sistem i legalno podržan u vidu odobrenja nadležnog evropskog tela za ovu oblast 1999
godine.
-8-
2. Tipovi kartica
2.1 Uvod
MeĎunarodni standard ISO 7810 definište fizičke karakteristike i dimenzije kartica za
identifikaciju. Ovi formati su poznatiji kao ID-1, ID-2, ID-3 i ID-000 koji inače predstavlja
format SIM kartica. Kao većina današnjih bankovnih i drugih kartica koje su u upotrebi,
smart kartice pripadaju formatu ID-1. Ovaj format im je dodeljen namenski da bi u
prelaznom periodu mogle biti korišćene na terminalima namenjenim bankovnim
karticama sa magnetnom trakom.
2.2 Embosirane kartice

Embosiranje se može smatrati najstarijom tehnikom identifikacije na karticama.
Embosirani karakteri se mogu lako preslikati na papir korišćenjem jednostavnog,
mehaničkog preslikača, a preslikani tekst je ljudima lako čitljiv i razumljiv. Upravo je
jednostavnost primene ove tehnike, doprinela lakom i brzom širenju kreditnih kartica
širom sveta.
Osnovni nedostatak kartica sa embosiranim karakterima je u količini papira koje se troši

uz njihovu upotrebu, u vidu raznih recepata, i troškova njihove nakdnadne obrade.
2.3 Kartice sa magnetnom trakom

Postavljanjem magnetne trake na poleĎini kartice, na kojoj su zapisani svi podaci o
kartici, potreba za papirom je značajno smanjena. Magnetna traka se očitava
provlačenjem kartice pored glave za čitanje unutar čitača kartica. Svi podaci se
očitavaju i zapisuju elektronski bez upotrebe papira.
Magnetna traka može da sadrži do tri pod-trake. Dve staze su korišćene za čitanje
podataka, a treća služi za upisivanje podataka, kao što su informacije o poslednjoj
transakciji u slučaju kreditne kartice. Memorijski kapacitet magnetne trake iznosi oko
1000 bita, što je dovoljno za podatke koje kartica treba da sadrži.
Osnovni nedostatak ovih kartica je u tome što se upisani podaci mogu veoma lako
menjati, a neovlašćenu izmenu podata je teško kasnije dokazati.
-9-
2.4 Smart kartice

Smart kartice predstavljaju najmlaĎeg člana u porodici kartica u formatu ID-1. Osnovna
karakteristika ovog tipa kartica je integrisana elektronska logika unutar tela kartice, koja
se sastoji iz komponenti za obradu, čuvanje i upisivanje podataka.
Podaci se mogu transferovati sa kartice ili na karticu putem kontaktnih površina na

kartici ili korišćenjem elektromagnetnog polja bez prisustva kontaktnih površina na telu
kartice. Ove kartice imaju brojne prednosti u odnosu na kartice sa magnetnom trakom.
Kapacitet smart kartica je daleko veći. Ipak, najveća prednost se ogleda u
mogućnostima zaštite podataka koje one pružaju.
Poverljivim podacima se može pristupati samo putem serijskog interfejsa kojim upravlja
interni operativni sistem i sigurnosna logika kartice, čime se sprečava manipulacija
podacima van kartice. Svi ovi poverljivi podaci mogu biti obraĎeni samo od strane
internog mikroprocesora.
U osnovi zaštita podataka se može uspostaviti kako na hardverskom tako i na

softverskom nivou unutar kartice. Ovim je omogućeno kreiranje čitavog niza raznovrsnih
sigurnosnih mehanizama, koji se zatim mogu oblikovati prema nekoj specifičnoj nameni.
Trajnost smart kartica je još jedna prednost, jer je veća u odnosu na prosečan upotrebni
vek od 2 godine kod kartica sa magnetnom trakom. Familija standarda ISO 7816
detaljno opisuje sve karakteristike i funkcije smart kartica.
Smart kartice se mogu podeliti na memorijske kartice i mikroprocesorske kartice.
Prema načinu na koji uspostavljaju vezu sa čitačem, mogu biti kontaktne i bez-
kontaktne tj. contactless.
SMART KARTICE
prema tipu ĉipa naĉin transfera podataka
memorijski ĉip
sa kontaktima
sa sigurnosnom logikom
bez kontakata
bez sigurnosne logike kontaktima
dual interface
kontaktima
mikroprocesorski ĉip
sa ko-procesorom
bez ko-procesora
Dijagram 2.1 – Podela smart kartica prema tipu i načinu veze sa terminalom.
- 10 -
2.4.1 Memorijske smart kartice

Ovaj tip kartice je prvi put masovnije korišćen u vidu telefonskih kartica. To su
pretplatničke kartice kod kojih se tokom njihove upotrebe smanjuje inicijalna vrednost
kredita za telefoniranje. Osnovna sigurnosna potreba, da se korisnik spreči da sam
uvećava iznova vrednost kredita, nije ostvariva korišćenjem kartica sa magnetnom
trakom, jer bi svaki korisnik sa potrebnom opremom to mogao da izvede.
U tom smislu upotreba smart memorijskih kartica je daleko praktičnija, obzirom da ovaj
tip kartica sadrži potrebnu elektronsku logiku koja sprečava naknadne manipulacije sa
vrednostima zabeleženim na kartici u momentu izdavanja.
Podaci potrebni nekoj aplikaciji se nalaze unutar memorije, obično EEPROM tipa.
Pristup memoriji kontroliše sigurnosna logika, koja se u najprostijem obliku sastoji od
zabrane upisivanja i brisanja podataka u memoriji ili nekim njenim segmentima.
Adresna i EEPROM
I/O
sigurnosna
clock - sat logika
kontrolna linija
Vcc - napon
ROM
GND - uzemljenje
Slika 2.1. – Blok dijagram memorijske kartice sa kontaktima
TakoĎe, u upotrebi mogu biti i memorijski čipovi sa složenijom sigurnosnom logikom i

koji pored zabrane upisa i brisanja podataka, vrše i jednostavniju enkripciju podataka.
Modulator + demodulator i
zaštita od kolizije
Adresna i EEPROM
I/O
A
sigurnosna
Clock generator logika
n Clock
t
e
n Control
a
Vcc ROM
GND
Regulator napona i reset generator
Slika 2.2 – Blok dijagram memorijske kartice bez kontakata
- 11 -
2.4.2 Smart kartice sa mikroprocesorom

Centralni deo ovih kartica čini mikroprocesorski čip obično okružen dodatnim
funkcionalnim blokovima: mask ROM-om, EEPROM-omom i RAM-om kao i I/O portom,
što sve zajedno podpada pod termin mikrokontroler.
Unutar ROM čipa se nalazi operativni sistem kartice koji se tamo postavlja tokom
proizvodnje kartice. Sadržaj ovog ROM čipa je identičan kod svake kartice i ne može se
kasnije menjati. EEPROM čip predstavlja NVM memoriju ili memoriju koja čuva podatke
i bez napajanja i u koju se podaci mogu upisivati i iz nje čitati, a kontrolou njenih funkcija
vrši interni operativni sistem. RAM čip predstavlja radnu memoriju procesora, a ova
memorija gubi sve podatke izostankom njenog napajanja. Serisjki I/O interfejs se sastoji
od jednog registra preko koga se podaci prenose bit po bit.
Smart kartice sa mikroprocesorom mogu imatu širok spektar primene. U jednostavnijim

slučajevima sadrže jednu aplikaciju za odreĎenu namenu, ali za današnje interne
operativne sisteme, uobičajeno je da rade sa više aplikacija istovremeno. Tada je
praksa da interni OS inicijalno dolazi u smanjenom obimu sa osnovnim komponentama,
a da se prilikom instalacije naknadnih aplikacija zajedno sa tim aplikacijama dodaju
specifični delovi operativnog sistema.
Novi momenti u razvoju ovih kartica omogućavaju dodavanje aplikacija čak i kada je već
obavljena personalizacija kartice i kada je ona izdata korisniku. Za tu namenu na tržištu
se već dostupne kartice sa snažnijim procesorima i većim kapacitetom memorije. Da bi
se sprečile eventualne manipulacije prilikom naknadnog dodavanja aplikacija, koriste se
posebne hardverske i softverske preventivne mere.
Na donjoj šemi dat je prikaz tipične kontaktne kartice sa koprocesorom.
ko-procesor Radna memorija
NPU RAM
I/O
Clock
CPU EEPROM
Control
Vcc ROM
GND
Operativni sistem Podaci i rutine

operrativnog sistema
Slika 2.3 – Blok dijagram mikroprocesorske kartice
- 12 -
2.4.3 Contactless ili smart kartice bez kontaktnih površina

Kontaktni izvodi kod kartica sa kontaktima izvedeni su prema standardu ISO 7816.
Pouzdanost ovih kartica je u novije vreme značajno povećana na osnovu iskustva
stečenog u njihovoj proizvodnji. Ipak, njihove kontaktne površine su i dalje jedan od
najčešćih razloga za pojavu grešaka ili kvara.
Osetljive su na razne štetne uticaje, vibracije u mobilnim telefonima koje utiču na

kvalitet ostvarenog kontakta, kao i na pojavu vlage ili prljavštine na kontaktim
površinama. TakoĎe pražnjenje statičkog elektriciteta može oštetiti unutrašnje
elektronske komponente.
Pobrojani tehnički problemi i se mogu otkloniti uvoĎenjem bez-kontaktnih kartica. Ovaj

tip kartice ne mora biti prisutan u čitaču da bi se podaci sa nje očitali. Distanca od čitača
može biti oko metar udaljenosti, što značajno olakšava mnoge aspekte njene upotrebe.
Pored toga, elektronska logika je potpuno integrisana u telu kartice i nije vidiljiva na
njenoj površini.
Ipak, zbog kompatibilnosti sa velikim brojem standardnih kontaktnih čitača koji su i

danas u upotrebi u mnogim sferama, bez-kontaktne kartice se često proizvode sa
pridruženim kontaktnim izvodima. Ove kartice se nazivaju dual-interface kartice ili
combicard kartice.
Modulator + demodulator i
zaštita od kolizije ko-procesor Radna memorija
NPU RAM
I/O
A
Clock generator
n Clock
t
e
CPU EEPROM
n Control
a
Vcc ROM
GND
Regulator napona i reset generator Operativni sistem Podaci i rutine

operrativnog sistema
RF interfejs mikrokontroler
ol
Slika 2.4 – Blok dijagram mikroprocesorske kartice bez kontakata
- 13 -
3. Tehnike zaštite
Najupečatljivija osobina smart kartica, ona koja ih čini različitim od drugih tipova kartica,
je sposobnost da informacije koje su na njima budu zaštićene od neovlašćenog
pristupa. Ipak ova osobina ne zavisi samo od hardverskih i softverskih mehanizama
impimplementiranih unutar kartice.
Bezbednost podataka takoĎe zavisi i od dizajnerskih principa primenjenih na kartici i

njenim aplikacijama od strane onih ljudi koji ove kartice razvijaju.
3.1 Identifikacija korisnika

Od davnina postoji potreba za identifikacijom, kao i brojne metode za njeno izvoĎenje.
U osnovi ovog problema, postoje tri načina za njegovo rešavanje. Ako se koristi metod
sa korišćenjem šifre koji je danas jedan od najčešćih načina za proveru identiteta, tada
se suštinski proverava da li korisnik zna šifru, ali se ne može pouzdano znati da li je to
zaista ta osoba.
Drugi pristup je provera da li korisnik poseduje odreĎeni predmet (na primer, karticu), a
treći je provera neke lične karakteristike osobe čiji se identitet proverava. Zbog ovih
ograničenja, biometrijske metode su počele dobijati sve više na značaju u procesima
identifikacije.
3.2 PIN broj

U tu svrhu koristi se i metoda identifikacije sa PIN brojem. Što je veći broj cifara koji čine
PIN broj to je veća njegova sigurnost. MeĎutim sa druge strane, kako je upotreba ovog
metoda česta u masovnim primenama, veličina PIN broja mora biti dovoljno laka za
pamćenje najvećem broju prosečnih korisnika.
Najednostavniji način „napada“ na PIN broj, pored pukog posmatranja sa strane šta
neko unosi, predstavlja pokušaj pogaĎanja ovog broja. Verovatnoća da se pogodi ovaj
broj, delom zavisi od dužine broja, od skupa karaktera koji su dozvoljeni za njegovo
generisanje i od broja dozvoljenih pokušaja da se pogodi broj.
Verovatnoća pogodtka četvoro-cifrenog PIN broja sa tri dozvoljena pokušaja je 0,03%

što nije velika vrednost. Još faktor koji utiče na verovatnoću pogaĎanja vrednosti PIN
broja je i uniformnost u generisanju ovih brojeva.
Ako se PIN broj češće generiše iz odreĎenog podskupa brojeva, a ne ravnomerno iz

kompletnog skupa, verovatnoća njegovog odreĎivanja je značajno veća.
- 14 -
3.3 Biometrijski metodi

Poteškoće oko potrebe pamćenja PIN broja izazivaju odreĎenu vrstu otpora kod
korisnika, pogotovo ako se kartica ne koristi često. TakoĎe je prisutan i neosnovan strah
da će naprimer bankarski terminal konfiskovati karticu ako je PIN broj unesen pogrešno
i treći put.
Ukratko, gornji primeri se mogu uzeti kao jedni od osnovnih razloga zašto biometrijska
identifikacija dobija na popularnosti u mnogim poljima primene.
3.4 Osnovni principi biometrije

Metod biometrijske identifikacije predstavlja način da se osoba identifikuje na osnovu
jedinstvenih bioloških osobina.
Ako se testirane osobine odnose prvenstveno na telo testirane osobe, onda se rezultat
testa predstavlja fiziološke biometrijske osobine. U drugom slučaju, ako se testirane
osobine odnose na matricu svesnog ponašanja, onda se rezultat testa predstavlja
bihejvioralne osobine testirane osobe.
Za uspešno izvoĎenje biometrijskog testiranja na prvom mestu je potrebno odobrenje

samog korisnika. U slučaju kada se koriste neke uvrežene i opšte prihvaćene metode
kao što je ručni potpis korisnika, takva metoda testiranja se lakše prihvata od strane
korisnika.
Osnovna razlika izmeĎu biometrijskih metoda i metoda koje u suštini predstavljaju

testiranje znanja kao kod PIN broja, je u tome što se biometrijske osobine pojedinca ne
mogu preneti na drugu osobu i time joj omogućiti da koristi karticu za identifikaciju.
Pre nego što se biološke osobine mogu testirati, potrebno ih je obezbediti od strane
korisnika i to iz više ponovljenih merenja čime se zatim dobija prosečna referentna
vrednost neke biološke osobine. Potom se ta vrednost prebacuje u internu memoriju
smart kartice.
U slučaju sa PIN brojem, tesiranje PIN vrednosti se vrši jednostavnim poreĎenje unete
vrednosti sa vrednošću zabeleženom u kartici, dok kod biometrijske identifikacije,
zavisno od korišćenog metoda, može postojati potreba za većom računarskom snagom.
Zbog potrebe da se obradi velika količina podataka, njihovo procesiranje nije izvodljivo
na samoj kartici. Za to se koriste spoljašnji računarski resursi koji vrše pred-obradu čiji
se rezultati zatim vraćaju smart kartici na finalnu obradu koristeći specijalne algoritme
koji ne zahtevaju veći računski kapacitet. Potom računskoj logici na smart kartici
preostaje da donese jednostavne odluke na nivou da/ne izbora.
- 15 -
Ovaj način obrade podataka se naziva MOC ili Matching On Chip.
3.5 Fiziološke osobine

U neke od najvažniji fizioloških osobina koje se testiraju u praksi, spadaju sledeće
osobine:
Facijalne osobine
Karakteristike očne retine
Karakteristike očnog irisa
Geometrija ljudske šake
Otisci prstiju
3.6 Bihejvioralne osobine

Bihevioralne osobine se mogu znatno promeniti tokom vremena, ali taj proces ide
uglavnom postepeno pa se referentne vrednosti mogu korišćenjem adaptivnih metoda
ponovo sačuvati u internoj memoriji smart kartice. U ovoj grupi testiraju se sledeće
osobine:
Ritam kucanja na tastaturi
Vokalne karakteristike
Dinamični potpis
- 16 -
4. Sigurnosni mehanizmi smart kartica
4.1 Uvod
Osnovni cilj upotrebe smart kartice je da se obezbedi sigurno okruženje za podatke i
programe koji se nalaze unutar kartice. Ukoliko bi uložen napor da se ovi podaci otkriju
bio relativno mali, smart kartica bi se mogla uslovno rečeno smatrati običnom disketom
koja ima nešto drugačiji interfejs.
Sa druge strane može se zaključiti da ne postoji pojam apsolutne zaštite podataka. Ako
bi se primera radi uložio dovoljno veliki rad i trud da se otkriju podaci, moglo bi se
prodreti u bilo koji zaštićeni sistem i vršiti manipulisanje podacima unutar tog sistema.
Ono što je sigurno, to je da svaki potencijalni napadač vrši analiziranje i uporeĎivanje

potrebnih napora i troškova sa onim što bi dobio zauzvrat kao nagradu. Nagrada za
„provaljivanje“ u sistem mora biti vredna uloženog vremena, novca i napora.
Nezavisno od toga da li je nagrada u vidu novca ili u vidu prestiža u odreĎenim

krugovima, ako sama po sebi nije vredna uloženih sredstava, nijedan napadač neće
utrošiti previše vremena na pokušaj otkrivanja podataka u smart kartici.
Sigurnost smart kartica zasniva se na četiri segmenta. Prvi segment čini telo kartice.
Veliki broj sigurnosnih osobina korišćenih na telu kartice su prvenstveno namenjene
vizuelnoj proveri od strane ljudi, što je tehnika koja se koristi i na drugim tipovima
kartica, izuzev onih primena gde vizuelna provera tela kartice od strane ljudi nije
predviĎena.
Ostala tri segmenta, hardverske komponente, operativni sistem i aplikacije štite podatke
i programe unutar mikrokontrolera smart kartice.
U tom smislu, potrebno je da ova tri segmenta zajedno funkcionišu, poput lanca u kome
je čvrstina svake karike podjednako važna, što je osnovni uslov da smart kartica ima
potreban nivo sigurnosti.
Sigurnost smart kartice
Telo kartice Hardver mikrontrolera Operativni sistem Aplikacije
Dijagram 4.1 – Sigurnosne komponente smart kartice.
- 17 -
4.2 Klasifikacije
U cilju preciznijeg definisanja rizika sa kojima se mogu suočiti sigurnosni mehanizmi
smart kartice, u praksi je izveden niz podela ili klasifikacija koje se odnose na tipove
mogućih napada i neke njihove podvarijante, na tipove napadača koji te napade izvode,
na vremenski okvir u kome se odreĎeni napadi po pravilu odigravaju i na vrste zaštitnih
mera koje se u tim prilikama primenjuju.
4.2.1 Klasifikacija napada i napadača

Klasifikacija napada i napadača koji ih izvode vrši se iz potrebe da se precizno odredi
koje protivmere treba preduzeti još u toku dizaniranja sigurnosnih parametara smart
kartice.
4.2.1.1 Klasifikacija napada

U praksi postoji više različitih pristupa klasifikaciji napada na sigurnost smart kartica. U
vršenju procene bezbednosti, uzimaju se u obzir sve poznate klase napada. Zatim se
ove klase grupišu prema životnom ciklusu smart kartice, u kome se ovi napadi najčešće
javljaju.
U osnovi, napadi na smart kartice se mogu podeliti na tri tipa:
Napadi na smart kartice
Napadi na Napadi na Napadi na

socijalnom fizičkom logičkom
nivou nivou nivou
Dijagram 4.2 – Podela napada po nivoima na kojima se javljaju
Napadi na socijalnom nivou su primarno usmereni na ljude koji rade sa smart

karticama. To mogu biti dizajneri čipova, softverski programeri ili vlasnici kartice.
Odbrana od ovakvih napada može biti u slučaju programera u tome što će se
kompletan kod učiniti javno dostupnim i čak ustupiti odreĎenim krugovima na testiranje.
U tom slučaju sva sigurnost kartice zasnovana je na tajnom ključu, a upućenost

programera u sam kod nije od koristi napadaču.
- 18 -
Napadi na fizičkom nivou zahtevaju korišćene tehničke opreme obzirom da je

potrebno na neki način pristupiti mikrokontroleru smart kartice.
Ovi napadi mogu biti statički ili napadi tokom kojih mikrokontroler nema napajanje i
dinamički kada mikorokontroler ima napajanje i funkcioniše. Kod dinamičkog napada,
napadač mora da raspolaže dovoljno brzom i snažnom opremom da bi mogao da dopre
do podataka sa smart kartice i izvrši njihovu obradu.
Metode analiziranja na
fizičkom nivou
Statička analiza Dinamička analiza

(mikrokontroler nije funkcionalan) (mikrokontroler jeste funkcionalan)
Najveći broj do sada izvršenih napada se dogodio na logičkom nivou. U ovoj kategoriji
napada vrši se klasična kripto-analiza, takoĎe se iskoršćavaju poznate manjkavosti
internog operativnog sistema.
Kod primene napada sa kripto-analizom, javljaju se dva tipa napada:
Pasivni napad kod koga napadač samo analizira kriptovani tekst i kriptografske
protokole i ne vrši nikakve izmene na njima, a zatim vrši merenje radnih parametara na
poluprovodničkim elementima unutar sigurnosne logike kartice.
Aktivni napad podrazumeva manipulaciju tokom podataka unutar mikrokontrolera

kartice.
Tipovi napada
Pasivni napadi Aktivni napadi
- 19 -
Po fazama životnog ciklusa kartice, napadi se mogu podeliti na one u:
razvoju kartice
proizvodnji kartice
upotrebi kartice
Faza razvoja kartice podrazumeva vremenski interval u kome se izvodi dizajn čipova,
razvoj operativnog sistema ili generisanje aplikacija.
Faza proizvodnje kartice, podrazumeva period tokom kojeg se proizvede hardver

kartice.
Faza upotrebe kartice podrazumeva period kada je kartica u upotrebi od strane njenog
vlasnika.
4.2.1.2 Klasifikacija napadača

Da bi se moglo realnije predpostaviti gde se nalaze slabe tačke u sigurnosnom sistemu
kartice, postoji potreba da se dobro sagledaju i tipovi mogućih napadača
Po nepisanom pravilu, prosečan napadač se vodi jednim od dva moguća motiva. Prvi
motiv je pohlepa, a drugi je neka vrsta prestiža i slave unutar odreĎenih krugova.
Posledica ovih napada mogu biti i pokušaji ucene sistemskih operatera koji izdaju smart
kartice i koji se sa svoje strane maskimalno trude da izbegnu rizike koje se mogu
odraziti kroz velike novčane gubitke, ali i gubitak reputacije, a sve to pogotovo u
danjašnje vreme, kada vesti o pojavi rupe u sistemu zaštite neke kartice mogu obići
svet u toku jednog dana.
Donji dijagram prikazuje najčešće tipove napadača.
Napadač
Osoba Organizacija
Haker Insajder Kriminalac Akademska Konkurencija Organizovani

institucija kriminal
- 20 -
Svi navedeni tipovi napadača mogu podjednako da ugroze sistem smart kartice, samo
su im za to na raspolaganju različita sredstva.
Tipičan haker ima solidno poznavanje sistema, par kreativnih ideja kako da prodre u
sistem i nalazi se obično unutar neke grupe istomišljenika. Nema na raspolaganju
značajnije tehničke resurse, ali ako primeni praktičan pristup svom problemu, u suštini i
sam može da obezbedi veći kapacitet procesiranja, koristeći Internet kampanju.
Insajder poseduje veoma veliko znanje o sistemu, može da ima pristup hardveru i
softveru kartice i da je upoznat sa slabostima sistema. Dok god nastupa kao pojedinac,
on se može klasifikovati kao haker. Ipak obzirom da insajderi nisu brojni i da nisu
anonimni, lako je utvrditi izvorište takvog napada.
Kriminalci su treća grupa napadača i kao takvi uglavnom ne poseduju značajno

poznavanje sistema kartice. Ipak u stanju su da ulože značajnije napore kada kao cilj
imaju finansijske beneficije.
Akademske institucije nisu možda na prvi pogled izbor za pojam napadača, ali praksa je
pokazala suprotno. Ovaj grupa koja obuhvata i tehničke institute, studente i profesore,
sačinjena je od ljudi koji ne moraju perfektno poznavati strukturu mikrokontrolera smart
kartice, ali su to ljudi koji imaju veliko opšte znanje.
Mnoge od ovih institucija poseduju značajne računarske resurse u njihovim

laboratorijama i pojedince uvek željne eksperimentisanja, što sve ukupno može dati
profil napadača iz ove grupe.
Posebana grupa napadača su konkurenti. Oni mogu imati značajna tehnička znanja
kao i veoma sofisticiranu analitičku opremu.
Poslednja grupa pripada organizovanom kriminalu. Ona je sastavljena od pojedinaca ili

grupe koja raspolaže značajnim finansijskim sredstvima, dovoljnim da pribavi potrebnu
opremu i znanje za izvoĎenje uspešnih napada na sigurnosni sistem smart kartice.
- 21 -
4.3 Tipovi napada u fazama ţivotnog ciklusa kartice
4.3.1 Napadi i odbrambene mere tokom razvojne faze kartice

Veliki broj raznih sigurnosnih mera počinje da se impelentira u bezbednosni sistem
kartice od samog početka njenog razvoja. Eventualni napadi u ovoj fazi iziskivali bi
pristup postrojenjima za izradu i dizajn kartica što je malo verovatno, i sve to uz visok
nivo potrebnog znanja za izvoĎenje ovih napada.
4.3.1.1. Razvoj mikrokontrolera smart kartice
Ovaj proces traje više meseci. U njega je uključeno svega nekoliko osoba i odigrava se
u prostorijama sa posebnim pravima pristupa i sa konstantnim nadzorom. Računarski
sistemi koji učestvuju u razvoju dizajna čipa kartice vezani na nezavisnu mrežu koja
nema kontakt sa ostatkom sveta.
Potreban je i odreĎen nivo znanja da bi se izvele manipulacije sa dizajnom čipa koji se

razvija. Danas je praksa da dizajn i mere zaštite skoro svake smart kartice budu
testirani od strane nezavisnih agencija, pa bi eventualni insajderski napad bio lako
lociran. Ipak, potencijalni napadač bi imao prednost ako bi bio upozant sa rasporedom
funkcionalnih elemenata na čipu, sa primenjenim sistemima zaštite, postavljenim
senzorima u čipu i sa opcijom da li se skrembluju podaci duž magistralnih vodova i
unutar memorije.
Mehanizam zaštite: kriterijum dizajna
Dimenzije elemenata su bitne za dobru zaštitu, pošto bi u slučaju senzora koji zauzima
veći površinu unutar tela kartice, ubodom igle isti senzor mogao biti uništen čime je
sistem zaštite kompromitovan.
Mehanizam zaštite: jedinstven broj čipa
Tokom razvoja komponenti, za sve sigrunosne komponente unutar kartice se prvo

definiše serijski broj, pa se zatim ugraĎuju u telo kartice. Jedna od takvih komponenti je
one-time-programmable (OTP) memorija.
Kada se IC čip proizvede, njegov serijski broj se upisuje u ovu memoriju. Svaki
proizvedeni čip ima jedinstven serijski broj, pa se po potrebi kasnije može identifikovati i
kartica u kojoj je integrisan. Ipak, ova mera ne pruža zaštitu od kopija čipova sa
mikrokontrolerom koji se može slobodno programirati.
- 22 -
4.3.1.2 Razvoj operativnog sistema smart kartice
Razvoj softverskih komponenti se uvek odvija unutar računara koji se povezani na

posebne, izolovane mreže. Razvojni alati i kompajleri moraju biti provereni pomoću za
to namenjenih testova. Zabranjeno je korišćenje softvera čiji se dobaljač se ne može
proveriti.
Mehanizam zaštite: principi razvoja
Kao i u slučaju hardvera, svaka karakteristika koja se ugraĎuje u softver se mora

dokumentovati. TakoĎe, veliki broj programskih komandi uz pomoć kojih se pristupa
odreĎenim segmentima memorije u toku razvoja softvera, ne sme biti prisutan unutar
skupa dozvoljenih komandi u vreme kada kartica postaje dostupna za koršćenje.
U tu svrhu se koriste i specijalni testovi koji proveravaju status ovih komandi pre
puštanja kartice u upotrebu.
TakoĎe, nije dozvoljeno da samo jedan programer radi na projektu, kako zbog
sigrunosti tako i zbog provere kvaliteta rada. Kada se razvoj softvera završi, kompletan
kod se ustupa nezavisnim specijalizovanim agencijama za testiranje softvera.
Pored toga što ova finalna provera služi za otklanjanje eventualnih grešaka u kodu,
takoĎe preventivno sprečava eventualne pokušaje skrivanja malicioznog koda unutar
koda operativnog sistema.
U praksi ovo bi se sprečilo samo pregledom kompletnog koda, jer bi iskusan programer
ipak mogao da naĎe prostora za skrivanje trojanskog konja unutar koda.
Mehanizam zaštite: distribucija znanja
Ako veći broj ljudi radi na odreĎenom zadatku, šanse za uspešan napad su daleko
manje zbog različitih iskustava i znanja ljudi koji su u taj projekat uključeni. Princip
distribucije znanja i meĎusobnog deljenja tajni je suprotan ideji da svako zna sve o
svemu.
U razvoju sigurnosnih komponenti, kompletno poznavanje razvojnog procesa nikada ne

treba da bude skoncentrisano na pojedincu, obzirom da bi ta osoba tada mogla biti
meta napada. Zato se znanje uvek deli na nekoliko osoba uključenih u razvojne
procese.
- 23 -
4.3.2 Napadi i odbrambene mere tokom proizvodnje kartice

Svaki napad koji bi se odigrao tokom faze proizvodnje kartice moga bi se kvalifikovati
kao insajderski napad, obzirom da su proizvodna postrojenja zatvorena za pristup
spolja, uz mere rigorozne kontrole. U praksi, mere bezbednosti se primenjuju i zbog
postojanja teoretske verovatnoće da se neke vrste napada izvedu u ovoj fazi.
Mehanizam zaštite: autentifikacija tokom završne faze
U završnoj fazi izrade, vrši se individualizacija mikrokontrolera korišćenjem serijskih

brojeva čipova, a zatim se koriste transportni kodovi.
Kod novijih internih operativnih sistema, transportni kod se vezuje za sam čip, jer je
autentifikacija svakog čipa osnovni uslov u toku faze finiširanja proizvodnje. Iako, ovaj
dodatni proces, poskupljuje proizvodnju, ujedno i povećava nivo sigurnosti.
Teoretski napad koji bi mogao u ovakvim uslovima da se izvede, predstavljen je

upotrebom lažnih smart kartica, koje se ponašaju istovetno kao i originali, ali za razliku
od njih sadrže dodatnu komandu ‚‚memory dump‚, kojom bi se sav sadržaj memorije u
nekom trenutku moga staviti napadaču na raspolaganje.
- 24 -
4.3.3 Napadi i odbrambene mere tokom upotrebe kartice

IzvoĎenje napada na sigurnosni sistem kartice svako će biti najlakše kada kartica proĎe
sve prethodne faze i uĎe u upotrebu.
Kao jedna od ideja koja se često poteže je mogućnost samouništenja smart kartice.
Iako ovakve implementacije postoje u vojnoj upotrebi, njihova primena u ostalim poljima
nije lako izvodljiva iz brojnih razloga.
Smart kartice nemaju rezervni izvor energije i bez spoljnog napajanja, nemaju načina da
primene neki od aktivnih odbrambenih mehanizama. TakoĎe postoji i legalni aspekt koji
postavlja pitanje odgovornosti ako se kartica nepravilno samouništi i time ošteti neke za
korisnika bitne podatke.
Na kraju se dolazi do zaključka da ovaj vid odbrane i nije neophodan obzirom da se sva
bezbednost zasnovana na tajnom ključu, čijim prostim brisanjem svi prisutni podaci
postaju neupotrebljivi, što je rezultat ekvivalentan samouništenju kartice.
Napadi koji se odigravaju u ovoj fazi mogu se podeliti na one koji su usmereni prema
hardveru kartice ili napade na fizičkom nivou i na one koji se odigravaju na logičkom
nivou.
Napadi na fizičkom nivou kao i metode analiziranja se mogu dodatno podeliti na

statičke i dinamičke. U statičkoj analizi, čip mikrokontrolera nije operativan, ali može
biti pod napajanjem.
U dinamičkoj analizi koja je teže izvodljiva, čip je u potpunosti operativan za vreme

analiziranja njegovog rada.
- 25 -
4.4 Napadi na fizičkom nivou

Ono što karakteriše napade koji se javljaju na nivou poluprovodničkih komponenti je
potreba za upotrebom skupe i sofisticirane opreme kao što su mikroskopi, laserski
rezači, fokusirani jonski snopovi, izuzetno brzi računari i drugo. Znanje potrebno za
korišćenje nabrojane opreme kao i njena cena su ono što najviše umanjuje brojnost
ovih napada.
Donji dijagram predstavlja tačke napada na fizičkmom nivou.
Napadi na fizičkom nivou
Procesor Magistrala podataka Memorija Senzori
CPU adresna magistrala ROM
NPU magistrala sa podacima RAM
Kontrolna magistrala
Da bi se izveo napad na fizičkom nivou, napadač prvo mora da izdvoji modul od ostatka
kartice, a tako osloboĎen čip je i dalje potpuno operativan i raspolaže merama zaštite.
Ove mere zaštite se mogu podeliti na pasivne ili aktivne.
Pasivne zaštitne mere se tiču samog dizajna poluprovodničkih elemenata o čemu se

vodi računa još tokom dizajniranja čipa, a namena im je zaštita odreĎenih memorijskih
segmenata i drugih funkcionalnih delova mikrokontrolera od analiziranja njihovog rada i
sadržaja.
Aktivne zaštitne mere upotpunjuju pasivne mere i podrazumevaju ugradnju senzora u

telo mikrokontrolera. Očitavaje vrednosti sa ovih senzora vrši interni softver po potrebi,
a što se može odvijati samo kada je sistem priključen na napajanje. Čip bez napajanja
ne može vršiti očitavanje signala sa senzora.
U narednom delu dat je prikaz zaštitnih mehanizama koji se najčešće koriste u praksi.
- 26 -
4.4.1 Statička analiza mikrokontrolera smart kartice

Mehanizam zaštite: poluprovodnička tehnologija
Dimenzije struktura koje se nalaze unutar čipa se graniče sa onim što je danas tehnički
izvodljivo. Uobičajena širina nekih struktura kao što su širina trake, veličina tranzistora i
drugih iznosi izmeĎu 0,35mm do 0,13mm. Gustina tranzistora je na najvišem nivou koji
je moguće dostići današnjim standardnim litografskim procesom.
Mehanizam zaštite: lažne strukture unutar čipa
Korićene ovih struktura namenjeno je prenstveno zbunjivanju napadača. Same

strukture nemaju nikakvu funkcionalnost. Loša strana u koršćenju ovih struktura je
potreba za većom površinom čipa.
Mehanizam zaštite: BUS magistrale unutar čipa
Sve interne magistrale koje povezuju procesor sa tri različita tipa memorije ROM-om,
RAM-om i EEPROM-om ni se nalaze unutar čipa i to na dubljim slojevima, što znači da
se ne može imati direktan kontakt sa ovim linijama. TakoĎe sav protok koji se odvija
preko njih se skrembluje, pa spoljašnja analiza ne bi dala rezultate.
Mehanizam zaštite: dizajn memorije
Većina programa unutar kartice se nalazi u ROM memoriji. Sadržaj ROM čipa koji se
uobičajeno koristi u industriji može biti očitan bit po bit korišćenjem optičkog
mikroskopa, što bi na kraju rezultiralo očitavanjem kompletnog koda. Zato je ROM čip
na smart kartici pozicioniran dublje unutar slojeva silikona. TakoĎe ROM čip na smart
kartici je jonski implantiran što znači da je nevidljiv za vidljivo ili ultraljubičasto svetlo.
Mehanizam zaštite: zaštitni slojevi (štitovi)
Analiza električnog potencijala na površini čipa tokom njegovog rada predstvalja tehniku
kojom se može doći do zaključka o tome šta RAM čip sadrži tokom svog rada. Ova
vrsta analize može se uspešno sprečiti postavljanjem metaliziranog sloja povrh celog
RAM čipa koji ujedno napaja čip. Ukoliko bi se ovaj sloj kasnije uklonio, čip više ne bi
ispravno funkcionisao.
- 27 -
Primer napada i primenjene mere zaštite: očitavanje vrednosti RAM memorije
Poznato je da RAM memorija gubi svoj sadržaj prestankom njenog napajanja. MeĎutim,
to ne važi u situaciji kada se memorijske ćelije ohlade na temperaturu od -60 oC.
TakoĎe, sadržaj RAM-a ne mora biti obrisan, ako se dovoljno dugo njegov sadržaj nije
menjao.
Zbog ovoga, tajni ključevi se ne drže u RAM memoriji duže nego što je to potrebno, jer
se tako smanjuje mogućnost ostanka tragova klučja ukoliko se čip hladi. Iako je
očitavanje RAM memorije izuzetno teško, pošto to uključuje i poznavanje prekidačkih
stanja integrisanih tranzistora, ovo je moguće izvesti uz pomoć preciznih elektronskih
mikroskopa.
Primer napada i primenjene mere zaštite: skremblovanje memorije
Skreblovanje memorije unutar mikrokontrolerskog čipa je slična tehnika skremblovanju

linija BUS magistrale. Pouzdanost ove tehnike zasniva se tajnosti šeme po kojoj se
skremblovanje vrši. Sama tehnika se lako implementira i ne zahteva dodatni prostor na
čipu, a eventualni napadač ne bi mogao da odredi tačne adrese memorijskih ćelija, a
samim tim i da manipuliše sadržajem memorije.
00 01 02 03 04 05 06 07 08 09 06 01 19 03 04 05 40 07 10 09
10 11 12 13 14 15 16 17 18 19 15 11 12 13 14 18 16
20 21 22 20 21 22 17 00 02
30 30
40 08
Slika 4.6 – Normalna i skremblovana memorija
Primer napada i primenjene mere zaštite: enkripcija memorije
Moderne smart kartice omogućavaju enkripciju sadržaja memorije kao i sadržaj nekih
od procesorskih registara. Ovaj način zaštite podrazumeva enkripciju i dekripciju
podataka u realnom vremenu, što znači istovremeno sa operacijama očitavanja i
upisivanja podataka u memoriju. Ova mera u svakom slučaju, dodatno otežava
izvoĎenje uspešnog napada i produžava vreme njegovog trajanja.
- 28 -
4.4.2 Dinamička analiza mikrokontrolera smart kartice
Mehanizam zaštite: preventivno nadziranje zaštitnog sloja povrh mikrokontrolera
Ovaj sloj se postavlja u završnoj fazi izrade i osnovna funkcija mu je da štiti čip od
atmosferskog uticaja, pošto bi dodirom čipa sa kiseonikom iz vazduha došlo do procesa
oksidacije i do drugih hemijskih reakcija koje mogu za kratko vreme da unište čip.
Ipak, da bi se bilo koja manipulacija sa čipom mogla izvesti od stane napadača, ovaj
sloje se mora prvo ukloniti. Kao protiv mera, u zaštitni sloj se postavljaju senzori koji
konstantno prati nivo otpornosti ili kapacitivnosti koji se javlja u ovom sloju i na taj način
utvrĎuju da li je sloj i dalje prisutan, pošto bi se njegovim delimičnim uklanjanjem ove
vrednosti promenile, a samim tim bi došlo i do prekida daljeg funkcionisanja čipa.
Mehanizam zaštite: nadziranje naponske vrednosti
Konstantno nadziranje vrednosti napona je funkcija kojom raspolaže svaka smart

kartica. Ovom funkcijom je omogućeno definisanje raspona radnog napona, unutar čijih
granica je mikrokontroler operativan, a van čijih granica dolazi do preventivnog
prestanka rada. Ove predefinisane maksimalne i minimalne vrednosti napona se ne
poklapaju sa onim graničnim vrednostima napona kada dolazi do pojave nestabilnosti u
radu procesora i kada se javljaju greške. Korišćenjem Differential Fault Analysis
tehnike tokom nestabilnog rada procesora moglo bi doći do otkrivanja vrednosti tajnog
ključa. Kao dodatna preventiva i sami senzori za merenje napona su zaštićeni.
Mehanizam zaštite: merenje radnog takta
Radni takt smart kartice je uvek definisan od strane spoljašnjeg izvora. Ova činjenica
može da otvori vrata procesu analiziranja stanja mikrokontrolera, merenjem potrošnje
energije tokom njegovog rada, zatim merenjima potencijala na različitim tačkama na
površini čipa, kao i manipulacijama vrednošću radnog takta.
Da bi se izbegli pomenuti rizici po bezbednost podataka, svaka smart kartica poseduje

dodatnu funkcionalnu komponentu koja definiše minimalni donju i maksimalno
dozvoljenu gornju granicu radnog takta, što u praksi iznosi od 1MHz do 5Mhz. Detektori
frekvencije se štite od spoljnih uticaja integracijom u zaštitni sloj u telu kartice.
- 29 -
Mehanizam zaštite: skremblovanje magistrale podataka
Signalni vodovi koji se protežu od procesora do memorije i čine magistralu za prenos

podataka, nisu izvedeni na klasičan način za to u industriji, tako da su meĎusobno
paralelni i u istoj ravni, već su potpuno van reda postavljeni i protežu se po različitim
slojevima unutar tela kartice. Dodatna mera je i postavljanje dodatnih IC kola koja
skrembluju i podatke koje se prenose ovim linijama.
Primer dinamičke analize i odbrane: „prisluškivanje“ memorijske magistrale
U ovom više teorijskom primeru dat je postupak očitavnja i analize podataka. Da bi se

pristuplo vodovima neke od magistrala unutar mikrokontrolera i sa njima uspostavio
kontakt, uvek i u svakom slučaju se mora ukloniti zaštitni sloj iznad mikrokontrolera.
Ranije je već pomenuto da ovaj sloj štiti čip od oksidacije i drugih hemijskih reakcija
ukoliko bi čip bio izložen direktnom uticaju atmosfere.
Pomenuti sloj takoĎe štiti mikrokontroler od napada i u tu svrhu sadrži senzore čijim
funkcionisanjem se stalno kontroliše prisustvo ovog sloja, pošto bi njegovo uklanjanje
automatski aktiviralo druge zaštitne mere mikrokontrolera.
Ipak, prema istraživanjima, uklanjanje ovog sloja je moguće njegovim premazivanjem

fluorovodoničnom kiselinom. U kombinaciji sa preciznim laserskim sekačem, moguće je
ukloniti zaštitni sloj samo na onim delovima gde je to potrebno za izvoĎenje napada.
Pošto je pristup vodovima kontrolne, adresne i magistrale podataka obezbeĎen,

teoretski bi bilo moguće uspostaviti električni kontakt sa ovim linijama korišćenjem
kontaktnih igala sa mikrosondom.
Ako je i ovaj korak ostvaren, adresiranje i očitavanje memorijskih segmenata unutar

ROM-a i EEPROM-a je lako izvodljivo i bez potrebe za električnim napajanjem ovih
čipova. Na ovaj način se sadržaj neizbrisive memorije na kartici može očitati i kada ona
nema napajanje i nije operativna.
Ukoliko bi se u sledećem koraku kartici priključilo napajanje i ona postala operativna,

napadač bi sada moga da prati i kompletan saobraćaj izmeĎu memorije i procesora, a
ovi podaci se mogu analizirati i snimati pomoću spoljašnih analizatora i snimača.
Ono što ovaj napad zadržava u domenu teorije jeste činjenica da je u praksi izeztno
teško ostvariti pojedinačan kontakt sa nekim vodom kao delom magistrale. I sa
modernom opremom za radove na mikronskom nivou, ovaj cilj bi za napadača bio
neostvariv zbog veoma malih dimenzija poluprovodničkih struktura.
- 30 -
Uzgred, za ovaj pristup bilo bi potrebo ostvariti električne kontakte sa više magistralnih
vodova. U slučaju 8-bitnog mikrokontrolera, broj vodova na adresnoj magistrali iznosio
bi 16, na magistrali podataka 8 i 4 kontakta na kontrolnoj magistrali, što iznosi
minimalno 25 ostvarenih konektcija prema spoljašnjoj opremi za analiziranje, a pri tome,
uspostavljanje ovih konekcija bi iziskivalo izuzetan napor.
Ako bi predpostavili da je napadač uspešno izveo potrebne kontakte, tek bi se našao

pred izazovom da odgonetne šemu po kojoj su skremblovani vodovi magistrale. Ovi
vodovi nisu rasporeĎeni jedan do drugog već u potpuno asimetričnom poretku i duž
različitih slojeva.
Primer dinamičke analize i odbrane: merenje potrošnje struje od strane procesora
Ova tehnika predstavlja dinamičku analizu i odnosi se na činjenicu da procesor smart

kartice troši različite vrednosti električne struje tokom svog rada. Primenom ove analize
moglo bi se utvrditi koje komande procesor izvršava u kom trenutku.
Primer dinamičke analize i odbrane: merenje elektromagnetne emisije procesora
Postoji bar teoretska mogućnost da se izvuku odreĎene informacije iz poreĎenja

rezultata izmerene elektromagnetne emisije oko mikrokontrolera i njegovih internih
procesa. Tehničko izvoĎenje ovakve analize je izuzetno teško i zahteva upotrebu
posebne opreme. TakoĎe znanje potrebno za izvoĎenje ovog tipa analize nije lako
dostupno.
- 31 -
4.4.3 Manipulacija mikrokontrolerom smart kartice
Primer napada i primenjene mere zaštite: iskljuĉivanje napajanja
Napad isključivanjem napajanja se zasnivao na činjenici da su se komande izmeĎu

terminala i smart kartice prenosile serijski ili jedna za drugom. Pravilo po kome se
nakon objavljene transakcije novo stanje upisuje u log fajl, moglo se narušiti
jednostavnim isključivanjem napajanja u tačno odreĎenom momentu i u log fajlu ne bi
bilo traga obavljenoj transakciji i novom stanju računa na kartici. Ovaj problem već dugo
vremena nije pretnja današnjim smart karticama, a rezultat toga je princip atomizacije
po kome funkcionišu programske komande, a to znači da neka operacija može biti ili
izvedena u potpunosti ili neće biti izvedena uopšte.
Primer napada i primenjene mere zaštite: analiziranje vrednosti struje tokom

procesa PIN komparacije u smart kartici
Ovaj primer napada se zasnivao na merenju fizičkih veličina na kartici i praćenju

logičkih stanja sa njima u vezi. Princip se zasnivao na merenju fizičke veličine napona
na nekom konkretnom otporniku i padu napona na tom otporniku. Do pada napona bi
dolazilo svaki put kada bi se kartici poslala PIN vrednost na komparaciju,a rezultat
komparacije bio negativan, pošto bi tada dolazilo do uvećanja RETRY brojača.
Napadač je na osnovu ovih vrednosti mogao da zaključi, isprobavanjem više vrednosti,
kada je u pitanju ispravna vrednost PIN ključa i po tome što tada ne bi dolazilo do
uvećanja brojača i pada napona na pomenutom otporniku. Rešenje problema se našlo
izmeĎu ostalog i u upisivanju neke vrednosti u nekorišćeni segment memorije i nakon
pozitivne komparacije PIN-a, što se iskazivalo padom napona na istom otporniku, pa
napadač više nije mogao da razlikuje rezultat komparacije.
- 32 -
4.4.4 Operativni sistemi smart kartica

Zaštitni mehanizmi primenjeni u hardveru smart kartice čine osnovu za zaštitne
mehanizme unutar operativnog sistema. Tri komponente koje čine bezbednosni sistem
kartice, hardver, operativni sistem i aplikacije moraju da funkcionišu u beskprekornom
sadejstvu. Operativni sistem ujedno predstavlja i osnovu za izvršavanje aplikacija.
U tom smislu na nivou operativnog sistema su primenjeni različiti zaštitni mehanizmi koji
započinju svoje aktivnosti od trenutka inicijalizacije operativnog sistema.
Mehanizam zaštite: hardverski i softverski testovi nakon resetovanja
Ovaj skup testova se odvija odmah po inijalizovanju operativnog sistema i tada se kao
jedan od najvažnijih izvršava RAM test. Neispravnost makar i na nivou 1 bita informacije
može dovesti do pada sistema sigurnosti kartice. U ovoj fazi se takoĎe računaju
kontrolni zbirovi nad sadržajem ROM-a i EEPROM-a. Testiranje procesora i ko-
procesora se odvija korišćenjem jednostavnih testova osnovne funkcionalnosti.
Mehanizam zaštite: separacija slojeva operativnog sistema
Kao dodatni vid zaštite od vrši se separacija operativnog sistema na slojeve koji treba
da u slučaju pojave grešaka tokom funkcionisanja OS-a njihov uticaj lokalizuju i na taj
sloj i time preduprede veće posledice po rad operativnog sistema.
Mehanizam zaštite: nadzor prenosa podataka
Svi podaci ka kartici i iz kartice mogu proći samo kroz I/O interfejs bez drugih
mogućnosti. Ovaj interfejs je pod stalnom kontrolom operativnog sistema.
Mehanizam zaštite: kontrolni zbirovi nad vaţnim sadrţajem memorije
Struktura fajlova i njihova zaglavlja se kontrolišu upotrebom kontrolnih zbirova, što

omogućuje da operativni sistem ima kontrolu nad eventualnim menjanjem sadržaja
fajlova u memoriji kartice. TakoĎe svi memorijski segmenti unutar EEPROM-a se štite
računanjem kontrolnih zbirova.
Mehanizam zaštite: blokada smart kartice
Važna karateristika operativnog sistema je i da omogući eventualnu potpunu

deaktivaciju smart kartice. Statistika je pokazala da se posebnim analizama većeg broja
samo delimično deaktiviranih kartica mogu dobiti korisni podaci za izvoĎenje napada.
Zato danjašnji operativni sistemu vrše po potrebi sopstvenu potpunu deaktivaciju i svih
svojih programskih rutina.
- 33 -
4.4.5 Zaštitne komponente aplikacija

Zaštitni mehanizmi aplikacija se zasnivaju na odgovarajućim mehanizmima unutar
operativnog sistema i hardverskog nivoa. Aplikacioni nivo je time i potpuno zavistan od
donja dva nivoa u pogledu sigurnosti koju može da obezbedi. Zato je pravilo da se
aplikacijski nivo tako konstruiše da kompromitacija sigurnosti nekog njegovog dela, tj.
aplikacije ne ugrožava kompletan sigurnosni sistem kartice.
Mehanizam zaštite: jednostavni mehanizmi
Dobra zaštita se zasniva na jednostavnim mehanizmima. U praksi se pokazalo da

složene procedure unutar aplikacija i njihova složena struktura ostavljaju više mesta za
greške koje kasnije mogu biti iskorišćene od strane napadača. Zato je usvojen princip
jednostavnosti, jer se na taj način aplikacija lakše implementira i testira njeno ispravno
funkcionisanje.
Pravilo je da zaštitni mehanizmi operativnog sistema budu implementirani i pozivani od

strane aplikacija iz razloga što su takvi mehanizmi dobro provereni i testirani i iniciraju
se sa nižeg softverskog nivoa u odnosu na onaj na kome je data aplikacija.
Mehanizam zaštite: stroga pravila pristupa
Još jedno važno pravilo za očuvanje sistema bezbednosti nalaže upotrebu

privilegovanog pristupa fajlovima i komandama, a sam pristup odobravati tek u krajnjoj
potrebi. Ovakva mera nije nepremostiva ali iziskuje značajan dodatni trud napadača.
Mehanizam zaštite: komandne sekvence
Primer mehanizma zaštite je i ograničavanje vrednosti koliko puta je moguće izvršiti

odreĎenu komandu. Takav mehanizam može da dozvoljava upotrebu samo odreĎenih
komandnih sekvenci.
Mehanizam zaštite: siguran prenos podataka
Uvek postoji rizik tokom prenosa osetljivih podataka kroz nesigurno okruženje.
Dovoljne su jednostavne manipulacije podacima unutar toka podataka da bi se mogle
izvući odreĎene za napadača korisne informacije. Kao protivmera ovome koristi se
enkripcija toka podataka, ali je pravilo da se ne vrši enkripcija kompletnog saobraćaja
nego samo delova koji prenose vrednosti tajnih ključeva.
Mehanizam zaštite: autentifikacija
Jednostrana autentifikacija je dobro poznat proces autentifikacije tokom korišćenja

kartica sa magnetnom trakom koje ne mogu da provere originalnost terminala. Smart
kartice ovo naravno mogu i tokom procesa zajedničke autentifikacije proverava se i
ispravnost terminala i samog sistema iza terminala, kao i identitet kartice.
- 34 -
4.4.6 Primena kriptografije

Elektronski novčanici, mobilne aplikacije, audio video sadržaji na Internetu koji su
zaštićeni autorskim pravima u celini otvaraju nova polja za primenu sigurnosnih
mehanizama. Predpostavka je da je dobro organizovana arhitektura zaštite zasnovana i
na hardverskom i na softverskom nivou.
TakoĎe je važno da i same poslovne organizacije razumeju na pravi način koje su

pretnje moguće naspram njihovog načina poslovanja i da u skladu sa time razvijaju
odgovarajuće sisteme zaštite, koji će im pružiti potreban nivo zaštite. Nisu samo banke i
vladine ustanove te koje su pod rizikom, to su i mnoge nekomercijalne organizacije i
koje rade sa osetljivim informacijama.
Primena kriptografije i kriptografskih ključeva kao sistema zaštite odvija se i na

softverskom i na hardverskom nivou. Primena ključeva na softverskom nivou na
otvorenim platformama kao što su PC računari i serverske stanice, čini ih ranjivim na
dešifrovanje ključa putem reverzibilnog inžinjeringa. Primena kriptografije unutar
zatvorenog sistema koje pruža hardversko okruženje mikrokontrolera smart kartice čini
ovaj sistem mnogo sigurnijim za upotrebu sigurnosnih ključeva.
Sigurnosni ključevi unutar mikrokontrolera mogu biti iskorišćeni za derivaciju

privremenih sesijskih ključeva koji se onda koriste tokom komunikacije sa otvorenim
platformama koje raspolažu većom procesnom snagom za obradu podataka. Na ovaj
način, sistem zaštite nije pod rizikom, pošto se sistemski ključevi sve vreme čuvaju u
sigurnom okruženju. Bitno je i održati balans izmeĎu primene hardvrskih i softverskih
mera zaštite, tako da one budu u skladu sa procesnim kapacitetom smart kartice, njene
BUS magistrale, procesora i drugih elektronskih elemenata.
Korisnici koji će kasnije koristiti mogućnosti mikrokontrolera na kartici, odreĎuju koje će

se kriptografske rutine koristiti. Zavisno od potreba aplikacija na kartici, definišu i prave
izbor sigurnosnih mehanizama, kao i izbor internog operativnog sistema. Donji dijagram
prikazuje opseg kriptografskih sigurnosnih mehanizama zasnovanih na simetričnoj i
asimetričnoj kriptografiji.
PRIVATNI
ISTI KLJUČ ZA KRIPTOGRAFSKI ALGORITMI I JAVNI
ENKRIPCIJU I KLJUČEVI
DEKRIPCIJU
SIMETRIČNI ALGORITMI ASIMETRIČNI ALGORITMI
DES TRIPLE DES AES RSA DSA
KLJUČ 2 KLJUČA OD KLJUČ OD TIPIČAN KLJUČ PRIME ECC

OD 56 56 BITA 128/192/256 OD 1024 DO
BITA BITA 2048 BITA
1024/2048 BITA 512 BITA
Slika 4.7 – Kriptografski algoritmi
- 35 -
5. Oblasti primene smart kartica

Razvoj tehnologije učinio je da smart kartice dobiju širu primenu u većem broju oblasti.
Danas je verovatno najprimetnija njihova zastupljenost u finansijskom sektoru. U ovoj
oblasti, sigurnosni mehanizmi smart kartica su najviše evoluirali, a sa ciljem
sprečavanja finansijskih manipulacija i prevara.
Njihova upotreba u oblasti finansija, takoĎe je zaslužna za promovisanje sigurnosnih

mehanizama na karticama sa bezkontaktnim interfejsom.
Ove sigurnosne mere se primenjuju i u samim karticama i u ostatku sistema za

procesiranje. Premda primenjeni metodi mogu da variraju od jednog do drugog
izdavača kartica, neke od uobičajenih mera su:
Na nivou smart kartice, svaka bezkontaktna kartica sadrži jedinstveni, ugraĎeni,

tajni ključ, koji koristi 128-bitnu enkripciju za generisanje za tu karticu jedinstvene
vrednosti (kao što je CVV) ili za generisanje kriptograma koji jedinstveno
identifikuje svaku transakciju. Ne postoje dve kartice sa istim ključem i ključ
nikada ne dospeva van kartice.
Na sistemskom nivou, payment mreže mogu da odbiju svaki pokušaj korišćenja

neke transakcije ponovo. Tako da ako neko i pokuša da očita podatke iz neke
transakcije, ti podaci će biti beskorisni.
Bezkontaktni nočvane transakcije ne prenose ime vlasnika kartice izmeĎu

terminala i kartice. Dobra praksa u finansijskom sektoru je da bezkontaktne
kartice i ne sadrže ime vlasnika kartice.
Neke od bezkontaktnih payment kartica ne sadrže ni broj računa vlasnika kartice,

već koriste alternativni broj koje je povezan sa pravim računom vlasnika, a koji
procesni sistem može da utvrdi. Ovakav alternativni broj pravog računa ne može
se primeniti za druge namene (kod kartica sa magnetnom trakom).
- 36 -
5.1 Bezbednost i EMV transakcije

U oblasti finansijskih transakcija i mera sigurnosti, važan momenat predstavlja i
uvoĎenje EMV standarda.
EMV standard je nastao kao rezultat udruživanja tri kompanije Europay, MasterCard i
Visa-e tokom 1994 godine i njihove ideja za razvojem zajedničkog, sveobuhvatnog
standarda u primeni sigurnosnih mera na smart karticama.
Zvanično, regulatorno telo koje se nalazi iza ovog standarda je EMVCo.
Standard je u osnovi sastavljen od niza specifikacija i test procedura. Ove specifikacije

su zasnovane na standardu ISO 7816, a namena im je da definišu funkcionisanje
fizičkog, električnog, aplikacijskog sloja kao i sloja podataka u komunikaciji smart kartice
sa procesnim sistemom koji očitava i procesira podatke sa smart kartica (POS terminali,
ATM uredjaji).
Benefiti koje donosi upotreba EMV standarda se odnose i na kontaktne i bezkontaktne

smart kartice, a neki od osnovnih su:
Autentifikacija kartice od strane POS terminala, korišćenjem kriptografije.
Jedinstven digitalni pečat ili potpis kojim se identifikuje finansijska transakcija koji
je potvrĎuje autentičnost transakcije u off-line okruženju ili drugačije rečeno,
onda kada smart kartica sama procesira podatke i njihovu autentičnost bez
podrške većeg procesnog sistema i povratnih podataka sa te strane.
Njihovo korišćenje doprinosi formiranju bezbednog online okruženja za obradu

finansijskih transakcija i štiti njhove vlasnike, trgovačke kuće i izdavače kartica.
Podrška širem opsegu sistema provera vlasništva nad karticom.
Istaživanja koja se odvijaju uporedo sa razvojem tehnologije smart kartica, pokazuju da

je brzina procesiranja jedne transakcije sa bezkontaktne kartice do 53% veća od one
gde je u upotrebi kartica sa magnetnom trakom ili 63% veća od slučaja sa korišćenjem
gotovine.
U tom smilslu standard EMV definiše i način funkcionisanja komunikacionog protokola

koji je u upotrebi pri komunikaciji bezkontaktnih smart kartica sa spoljnom procesnom
opremom, a takoĎe definiše i metod za selekciju aplikacija unutar bezkontaktnih smart
kartica.
- 37 -
5.2 Primena smart kartica u drugim oblastima

Pored upotrebe ovih kartica u finansijskom sektoru u vidu kreditinih i debitnih kartica,
one imaju značajnu ulogu i u drugim sistemima sa naplatom, kao što je tranzitni, a
naravno, služe i za proveru i utvrĎivanje identiteta.
Za bilo koji sistem zasnovan na smart karticama, slojevi sigurnosnih mehanizama i

načini njihove implementacije se definišu ili od strane izdavača kartica ili na nivou
sektora u kome će imati kasniju primenu.
Smart kartice se sve više susreću u raznim oblastima primene:
ePassport ili elektronski pasoš, zanovan na bezkontaktnom mikrokontroleru, ima

odskora primenu i u našoj zemlji u vidu biometrijskog pasoša.
U nekim zemljama sistem gradskog prevoza koristi bezkontaktni interfejs za

naplatu vožnje putnicima koji ulaze u sredstvo prevoza.
Koriste se za proveru identita u mnogim oblastima, gde je pristup dozvoljen

ograničenom broju ljudi
- 38 -
6. Case Study
U ovom poglavlju biće predstavljena studija slučaja imaginarne kompanije GTT, ali sa
realističnim prikazom praktične situacije.
Kompanija GTT kao klijent kompanije IBM, u svom zahtevu za ponudom definisala je
niz zahteva koje želi da implementira u svoje poslovanje. Kompanija IBM je postupak
izbora odgovarajućeg rešenja za svog klijenta započela pravljenjem profila ove
kompanije.
6.1 Profil klijenta GTT

Naziv klijenta je „GTT (Global Talk and Tell) International Corp“.
GTT kompanija je proizvoĎač hardvera i softvera srednje veličine. Proizvodnja je

orjentisana na potrošačku elektroniku, kao što su mobilni telefoni za tržišta dalekog
Istoka, Amerike i Evrope. Nedavno su ušli i na tržište računara. U ponudi imaju i PDA
ureĎaje, računarske komponente i podsklopove namenjene drugim proizvoĎačima
kućne elektronike.
Broj zaposlenih u kompaniji se kreće oko 10.000 hiljada, a kompanija pored svog
sedišta i razvojne laboratorije u San Džouzeu u Kaliforniji poseduje i proizvodne pogone
u Maleziji i Nemačkoj. Uglavnom sva proizvodnja i distribucija je zasnovana na dva
pogona u Malezji.
GTT je moderna, visoko tehnološka kompanija. Svi menadžeri i većina radnika imaju
svoje lične računare, a neke radne jedinice u Evropi uvode i thin client tehnologiju.
Laboratorijski pogoni su opremljeni UNIX radnim stanicama.
Sva komunikacija izmeĎu segmenata kompanije širom sveta se odvija putem Interneta.
Najčešći vid prepiske izemĎu radnih jedinica, kao i u komuikaciji sa klijentima odvija se
putem e-maila. Kompanijska računarska mreža je bazirana na TCP/IP protokolu.
U kompaniji su svesni pitanja sigurnosti. Svi zaposleni poseduju i moraju da nose

identifikacioni bedž sa logom kompanije, svojom fotografijom, imenom, identifikacionim
brojem i brojem radne jedinice.
Ovaj bedž sa zadnje strane ima magnetnu traku za prolaz kroz kontrolne punktove
izmeĎu različitih odeljenja unutar kompleksa. TakoĎe, bedž sa magnetnom trakom se
koristi za usluge kompanijske kantine i kafeterije.
- 39 -
6.2 Bezbednost
Kompanija je od nedavno započela sa podizanjem nivoa bezbednosti, kao rezultat želje
da se spreči eventualni hakerski upad i njen sistem.
U tom cilju učinjeni su mnogi koraci, meĎu kojima su stroža firewall pravila, kreiranje
demilitarizovanih zona sa dodatnim firewall-om na svakoj lokaciji, postavljene su VPN
konekcije, ali pomenute mere nisu donele traženi nivo bezbednosti.
Kompanija se nakon istraživanja o najboljem načinu za podizanje nivoa zaštite odlučila

na implementaciju smart card tehnologije. Donesena odluka podrazumeva postepenu
zamenu kartica sa magnetnom trakom smart karticama sa mikrokontrolerom.
Jedna od primena nove tehnologije koju kompanija želi da uvede biće i biometrijska
provera identiteta zaposlenih. Nadležni menadžeri u kompaniji izneli su primer države
Peru gde je identfikacija miliona graĎana zasnovana na biometrijskom metodu sa
otiskom prsta.
Ovakav sistem u kompaniji GTT bio bi daleko jednostavniji pošto bi se proces

identifikacije zaposlenog zasnivao na komparaciji digitalne kopije otiska u kartici i otiska
na senzoru. Digitalna kopija otiska prsta zauzimala bi svega nekoliko stotina bajta
memorije.
6.3 Digitalni potpis

Kompanija je učinila i osvrt na upotrebu digitalnog potpisa. U brzim poslovnim tokovima,
kašnjenja u potpisivanju ugovora mogu dovesti do njihovog otkazivanja, što je već par
puta i bio slučaj.
Ideja kompanije je da se ispisani ugovori odmah potom digitalno potpišu, a svaki

rukovodilac će za tu svrhu koristiti svoju karticu. Kartica će za te potrebe u svojoj
memoriji imati zapis privatnog ključa, kao i digatalnog sertifikata.
Za sada ne mogu da se odluče da li da implementiraju sopstveni CA – Certificate

Authority sistem za upravljanje sertifikatima i javnim ključevima ili da koriste usluge
drugih CA sistema i traže savet od kompanije IBM po ovom pitanju.
- 40 -
6.4 Mrežni pristup

Definisana su tri segmetna za primenu smart card tehonologije unutar kompanije:
1. Mrežne radne stanice nemaju lokalni disk, i kompletan sistem preuzimaju preko
mreže sa servera. Kompanija želi da se smart kartice koriste prilikom prijavljvanja
zaposlenih na sistem, koristeći sertifiakt digitalnog potpisa.
2. U kompaniji žele da samo odreĎene osobe pristupaju odreĎenim računarima.

Jedan od načina za ovo je da radna stanica za odreĎene kartice dozovoljava
pristup samo sa tastature ili samo sa miša.
3. Jednostavno prijavljivanje na sistem na početku rada i nakon uspešne

autentifikacije neometan pristup drugim delovima sistema do kraja rada.
6.5 Sumiranje zahteva

Kratkim osvrtom na sve klijentove zahteve u kompaniji IBM su izveli sledeće zaključke:
Kompanija GTT želi da započne probni projekat gde bi se u početnoj fazi odvijala
zamena bedževa sa magnetnom trakom, upotrebom smart kartica. TakoĎe, žele da
sistem sa smart karticama odmah preuzme funkcionalnosti u sledećim poljima:
Identifikacija na osnovu slike
Pristup proizvodnim postrojenjima
Pristup kantini
Kao dodatne funkcionalnosti u kompaniji žele :
Digitalni potpis
Elektronski novčanik za troškove u kantini i na soda aparatima
Biometrijsku identifikaciju
Pristup mrežnim resursima
Medicinski podaci radnika
Travel kartica za korišćenje u hotelima, aerodromima i pri rentiranju automobila
- 41 -
6.6 Obavezni preduslovi

Podrška novog sistema postojećim aplikacijama
U GTT-ju žele da sačuvaju podršku postojećim sistemima za ličnu identifikaciju.

Za potrebe tehnološke migracije, predloženo rešenje smart kartice treba da
sadrži i magnetnu traku.
Pristup postrojenjima pod stalnim nadzorom
Predloženo rešenje smart kartice treba da sadrži ime, serijski broj zaposlenog,
fotografiju i logo kompanije.
Elektronski novĉanik za korišćenje usluga kompanijske kantine
Ovde treba obratiti pažnju na to da u različitim zemljama zaposleni imaju različite

valute.
Podrška za digitalni potpis
Kompanija će usvojiti S/MIME standard i planira da na smart karticama budu

zapisi privatnog ključa i sertifikata kojima će se potpisivati elektronska pošta i sva
ostala elektronska dokumentacija.
Medicinski podaci zaposlenih
Ovi podaci će se čuvati samo uz odobrenje zaposlenih, a sadržaće birane

medicinske podatke koji mogu pomoću u izboru adekvatne zdravstvene zaštite.
Podrška za biometrijsku indentifikaciju
Za objekte sa strožim kriterijumom pristupa, kao što su istraživačke laboratorije,

kompanija planira uvoĎenje smart kartica sa otiskom prsta.
Podrška za merenje vremena i prisutnosti na poslu
Zaposleni u proizvodnim pogonima sada koriste kartice sa magnetnom trakom, a

plan je prelazak na smart kartice.
Posebni čitači smart kartica biće postavljeni pored ulaza u važnije objekte sa
skenerom za otiske prstiju.
Kompanija GTT očekuje da smart kartice budu u skladu sa standardom 7816 kao
i da sadrže podršku za EMV specifikaciju.
- 42 -
6.7 Opcionalni preduslovi

Mrežni pristup
Kompanija GTT želi da pristup mrežnim resursima bude uslovljen upotrebom

smart kartice.
Putnička kartica
U ovom domenu, poučeni iskustvima drugih, kompanija želi da se oproba u

korišćenju smart kartica za potrebe plaćanja boravka u hotelima tokom službenih
putovanja i rentiranja automobila.
6.8 Analiza zahteva za ponudom

U ovoj fazi vrši se izbor tipa smart kartice prema zahtevima klijenta.
6.8.1 Izbor smart kartice

U tom procesu sledeći aspekti utiču na izbor kartice:
1. Digitalni potpis: za potrebe ovog zahteva, smart kartica mora imati kripto-
procesor. Ujedno to znači i da će kartica ima kontaktne površine. Ovaj preduslov
sužava broj mogućih kartica.
2. Pristup radnim jedinicama: Kompanija GTT želi brz pristup i prolaz kroz kontrolne
punktove izmeĎu radnih jedinica. Ovo ukazuje da kartica mora da bude i bez-
kontaktna.
3. Da bi kartica bila usaglašena prema klijentovom zahtevu sa standardom 7816,

dimenzije kartice će odgovarati uobičajenim dimenzijama kreditnih kartica.
4. Sastav kartice: obzirom na zahtev klijenta da se fotografije budu utisnute na

karticama termalnim procesom, odgovarajući materijal za sastav kartice bi bio
polivinl-hlorid ili PVC. Drugi materijali kao što su polikarbonati ne prihvataju dobro
termalnu štampu fotografija na karticama ili nije moguće postići kvalitetan otisak.
5. Veličina EPPROM-a: veličina EEPROM memorije je odreĎena na osnovu

memorijskih zahteva potrebnih aplikacija unutar kartice.OdreĎeno je da će
minimalni kapacitet EEPROM-a biti 8KB.
- 43 -
6. Operativni sistem: traženi operativni sistem mora da podržava kriptografski

procesor i rad sa više aplikacija. Kompanija GTT želi da to bude zatvoren sistem
pod njenom kontrolom i ne želi da plaća dodatne takse za korišćenje operativnih
sistema koji dopuštaju korišćenje elektronskih novčanika, i koje prepoznaju i
prihvataju trgovci širom sveta. Zato je akcenat kompanije GTT na izboru
standarnog operativnog sistema za smart kartice, dokazanog u upotrebi.
7. EMV podrška: Kompanija ovde nema na umu EMV payment šemu, već želi da
implementira način selekcije EMV aplikacija.
8. ProizvoĎač kartica treba da ima infrastrukturu i predstavništva širom sveta
9. Operativni sistem treba da ima moćan programski alat za razvoj aplikacija.
Prema navedenim uslovima, u kompaniji IBM su se odlučili za sledeći tip kartice:
IBM MFC 4.21 card
Karakteristike ove kartice su:
8-KB EEPROM
Kripto-koprocesor
RAM od 512 bajta
Čip CF68 od proizvoĎača ST Microelectronic
Bezkontaktni čip ima 1024 bajta i nije povezan sa kontaktnim EEPROM-om.
Kartica je odabrana prema kapacitetu EEPROM-a, prema kapacitetu kripto-koprocesora

za obradu asimterične enkripcije potrebne za upotrebu digitalnog potpisa i zbog
dokazane funkcionalnosti MFC operativnog sistema.
Ujedno, kartica je prilagoĎena standardu ISO 7816. Za razvoj aplikacija IBM je

predvideo IBM Smart Card ToolKit, pogotovo što se ovaj paket može koristiti i za druge
kartice.
- 44 -
6.8.2 Oblasti primene

Nove smart kartice će imati i magnetnu traku na svojoj poleĎini. Sadržaj trake će biti isti
kao što je na postojećim karticama. Tokom prelaznog perioda, radnici će imati nove
kartice, ali će stari čitači i dalje biti u upotrebi.
6.8.3 Pristup radnim jedinicama

Kompanija GTT namerava da koristi smart kartice za pristup objektima. Najpraktičniji
čitači za ove namene su bezkontaktni čitači. Klasični čitači sa magnetnom trakom
zahtevaju da se kartice pažljivo provuku kroz čitač, a kada veći broj ljudi treba da uradi
ovu operaciju dolazi do formiranja redova i zagušenja, pogotovo u radnim postrojenjima
gde je smenski rad i veliki broj ljudi napušta radno mesto, a druga smena dolazi na
posao.
U ovakvoj situaciji bi upotreba bezkontaktnog čitača bila daleko praktičnija zbog daleko
šire zone očitavanja podataka i samim tim manje mogućnosti za nastanak greške u
očitavanju kartice zbog pogrešnog pozicioniranja u čitaču.
Sa bezkontaktnim tipom čitača, zaposleni mogu proći na 1m od čitača i on će očitati

njihov serijski broj. Iz ovih detalja se može izvesti manji broj proizvoĎača bezkontaktnih
čitača:
Racom
CYTEC Casses & Computer Gmbh
DATASEC Electronic Gmbh
Deister Electronic
UniVision
GemPlus
Instalacija bez-kontaktnih čitača treba da otpočne pre početka distribucije smart kartica
klijentu, a na odreĎenim lokacijama treba zadržati i stare čitače uporedo sa novim još
neko vreme.
6.8.4 Radnička kantina i aparati za kafu

Kompanija GTT želi da ima čitače smart kartica na svim lokacijama gde ima svoja
postrojenja. Ovaj čitač treba da prihvata i stari ID bedž i novu smart karticu sa pre-paid
elektronskim novčanikom unutar smart kartice.
- 45 -
Kao najjeftinije rešenje, to bi trebalo da budu čitači priključeni na obližnji PC računar.
Razvoj aplikacija za debitne transakcije takoĎe je najmanje zahtevan u PC softverskom

okruženju, kao i njihovo održavanje.
TakoĎe, potrebno je postaviti terminale za dopunu kredita na smart karticama.

Ovakav terminal treba takoĎe biti instaliran i postavljen u prostorijama radničke kantine.
Slika 11.4-1 Primer terminala za dopunu kredita na smart karticama
Na ostalim lokacijama po svetu, aplikacija će konvertovati lokalnu valutu u američke

dolare. Tablica konverzija će se periodično osvežavati, prema odlukama kompanije
GTT, a zaposleni će biti obaveštavani o svim promenama kursa.
6.8.5 Sigurnost elektronskog novčanika

U ovoj studiji slučaja imamo primer korišćenja elektronskog novčanika u zatvorenom
sistemu jedne velike kompanije. Izdavač smart kartice i njen korisnik je ista strana,
kompanija GTT.
TakoĎe, kompanija će imati i potpunu kontrolu nad aplikacijama i tokovima novca.

Korsinici elektronske valute će biti unutar zatvorenog kruga ljudi, zaposlenih kompanije
GTT.
U drugim oblastima, kada su elektronski novčanici implementirani od strane neke

finansijske institucije, banke i kartice se distribuiraju širom sveta, mere bezbednosti
moraju biti jače. U ovom slučaju implementiran je jedan ključ.
- 46 -
6.8.6 Digitalni potpis

Po ovom pitanju u kompaniji GTT treba da odluče da li žele da implementiraju sopstveni
Certificate Authority (CA) sistem za izdavanje, praćenje i povlačenje digitalnih
sertifikata.
Ako se kompanija odluči na sopstveni sistem, tada mora da pripremi i instalira CA

softver kao što je GTE CyberTrust, Nortel Entrust ili IBM Vault Registry. U tom slučaju,
kompanija GTT će morati da izgradi infrastrukturu za korisničku podršku i rešavanje
tehničkih problema unutar svoje organizacije. Moraće da organizuju polise za
izadavnje, praćenje i povlačenje sertfikata kao i alatke za aktiviranje ovih polisa.
Ipak, zbog ograničenog broja zaposlenih koji će koristiti elektronski potpis, za kompaniju
GTT bi bilo bolje da razmotri korišćenje usluga nekog javnog tela za izdavanje
sertifikata kao što su Verisign ili Equifax.
Smart kartica MFC 4.21 može da izvršava asimetričnu enkripciju na kartici i opremljena
je kripto-koprocesorom.
Predloženi softver je IBM Digital Signature Solution. Radi pod Microsoft Windows XP
operativnim sistemom i podržava PKCS#11 standard.
6.8.7 Pristup mrežnim resursima

Mreţne raĉunarske stanice
U ovom slučaju sertifikati bi se izdavali za dve namene. Prva je provera integriteta

operativnog sistema koji se učitava na mrežnu radnu stanicu. Druga namena je provera
indentiteta korisnika koji želi da koristi mrežni računar. Po uspešnoj proveri identiteta,
korisnikov profil postaje dostupan.
Radne stanice
Pristup radnim stanicama biće ograničen upotrebom smart kartica, njihovim

ubacivanjem u čitač, i nakon pozitivne provere identiteta sistem bi postao dostupan
korisniknu.
- 47 -
6.8.8 Medicinski podaci

Ovakav sistem je planiran na dobrovoljnom učešću zaposlenih. Sledeći podaci bi mogli
biti sadržani u memoriji smart kartice:
Krvna grupa
Posebne zdravstvene potrebe
Alergije
Ime porodičnog lekara
Naziv zdravstvenog osiguravajućeg društva
Broj zdravstvenog osiguranja
Iskaz o donaciji organa
Za ove podatke biće rezervisano 140 bajtova memorije.
Ovi podaci bi bili korisna informacija medicinskom osoblju, pogotovo u situacijama kada
radnik nije u mogućnosti da ih sam pruži.
- 48 -
7. Zakljuĉak
Tehnologija smart kartica polako ali sigurno osvaja ona polja u kojima su kartice sa
magnetnom trakom i dalje dominantne. Najvažniji uslov za masovnu upotrebu neke
tehnologije nije bezbednost koju ta tehnologija može da pruži već jednostavnost njene
upotrebe.
Ipak, ova tehnologija polako dobija vodeću ulogu u sve većem broju primena zbog svoje
superiornosti u odnosu na ostale tipove kartica.
Bezbednost podataka kao jedna od najvažnijih karakteristika verovatno će i dalje biti u

središtu borbe izmeĎu sve sofisticiranije tehnologije za implementaciju sigurnosti i
domišljatih i dovoljno upornih napadača.
Svakako, razvoj tehnologije je učinio polje sigurnosti podataka suviše kompleksnim za

najveći broj potencijalnih napadača i po pitanju potrebnog znanja i potrebne opreme kao
i finansijskih mogućnosti.
Postoji mišljenje da je tehnološki napredak mnoge tipove napada učinio mogućim samo
u teoriji, ali ostaju otvorena još mnoga polja gde će se sigurnosne tehnike i dalje
unapreĎivati i razvijati.
- 49 -
8. Korišćena i referentna literatura
rd
[1] Rankl W. – Effing W.: “Smart Card Handbook 3 edition” Chichester, John Wiley & Sons, 2003
[2] “What Makes a Smart Card Secure?” Smart Card Alliance - White Paper, 2008
[3] Ferrari J. – Mackinnon R.:”Smart Cards: A Case Study” – IBM, RedBook, 1998
[4] http://www.emvco.com, Maj - 2010
- 50 -

Seminarski Rad - Sigurnosni Mehanizmi Za Rad Sa Smart Karticama

Uploaded by

Document Information

Original Title

Copyright

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Seminarski Rad - Sigurnosni Mehanizmi Za Rad Sa Smart Karticama

Uploaded by

Copyright:

Univerzitet u Beogradu

Fakultet organizacionih nauka

SIGURNOSNI MEHANIZMI ZA RAD SA

1.1 Kratak istorijat upotrebe kartica 6

2.2 Embosirane kartice 9

2.3 Kartice sa magnetnom trakom 9

2.4 Smart kartice 10

2.4.1 Memorijske smart kartice 11

2.4.2 Smart kartice sa mikroprocesorom 12

2.4.3 Contactless ili smart kartice bez kontaktnih površina 13

3.1 Identifikacija korisnika 14

3.2 PIN broj 14

3.3 Biometrijski metodi 15

3.3.1 Osnovni principi biometrije 15

3.3.2 Fiziološke osobine 16

3.3.3 Bihejvioralne osobine 16

4. SIGURNOSNI MEHANIZMI SMART KARTICA 17

4.2 Podele i klasifikacije 18

4.2.1 Klasifikacija napada i napadača 18

4.2.1.1 Klasifikacija napada 18

4.2.2.2 Klasifikacija napadača 20

4.3 Tipovi napada u različitim fazama životnog ciklusa kartice 22

4.3.1 Napadi i sigurnosne mere tokom faze razvoja kartice 22

4.3.1.1 Razvoj mikrokontrolera smart kartice 22

4.3.1.2 Razvoj operativnog sistema smart kartice 23

4.3.2 Napadi i sigurnosne mere tokom faze proizvodnje kartice 24

4.3.3 Napadi i sigurnosne mere tokom faze upotrebe kartice 25

4.4 Napadi na fizičkom nivou 26

4.4.1 Statička analiza mikrokontrolera 27

4.4.2 Dinamička analiza mikrokontrolera 29

4.4.3 Manipulacije mikrokontrolerom 32

4.4.4 Operativni sistemi smart kartica 33

4.4.5 Zaštitne komponente aplikacija 34

4.4.6 Primena kriptografije 35

5. OBLASTI PRIMENE SMART KARTICA 36

5.1 Bezbednost i EMV transakcije 37

5.2 Primena smart kartica u drugim oblastima 38

6. CASE STUDY – Kompanija GTT 39

6.1 Profil klijenta GTT 39

6.3 Digitalni potpis 40

6.4 Mrežni pristup 41

6.5 Sumiranje zahteva 41

6.6 Obavezni preduslovi 42

6.7 Opcioni preduslovi 43

6.8 Analiza zahteva za ponudom 43

6.8.1 Izbor smart kartice 43

6.8.2 Oblast primene 45

6.8.3 Pristup radnim jedinicama 45

6.8.4 Radnička kantina i aparati za kafu 45

6.8.5 Sigurnost elektronskog novčanika 46

6.8.6 Digitalni potpis 47

6.8.7 Pristup mrežnim resursima 47

6.8.8 Medicinski podaci 48

8. KORIŠĆENA I REFERENTNA LITERATURA 50

1.1 Kratak istorijat upotrebe kartica

U početku su funkcije ovih kartica bile veoma jednostavne. Služile su uglavnom za

Zaštita identiteta se zasnivala samo na vizuelnim elementima odštampanim na kartici i

Istovremeno, tražila su se nova rešenja koja iziskuju manje troškove, bezbednija su i

Ideja za korišćenje integralnog kola na kartici za identifikaciju korisnika, pojavila se prvi

Kako je čip na telefonskim karticama korišćenim u nemačom projektu zasnovan na

Elektronika na ovim telefonskim karticama zasnovana je na jednostavnijim

U tom smislu, mikroprocesorski čipovi su primetno veći i kompleksniji čipovi od onih

Kasnije je pozitivno iskustvo sa analognim mobilnim mrežama dovelo do korišćenja

Brzim razvojem elektronske obrade podataka od šezdesetih godiina pa do danas,

2.2 Embosirane kartice

Osnovni nedostatak kartica sa embosiranim karakterima je u količini papira koje se troši