Способы хранения информации на карточке, методы защиты.

Способы хранения информации на карточке, методы защиты

 

Магнитные карты

 

Карты такого типа являются сегодня наиболее распространенными, и в обращении находится уже свыше двух миллиардов подобных карт. Согласно описывающему их стандарту ISO 7811, магнитные полосы на картах состоят из трех дорожек (хотя бывает и четыре). Первые две предназначены для хранения в закодированном виде идентификационных данных карты (тип и номер, срок действия и т. п.), а на третью можно записывать другую информацию (например, текущее значение лимита дебетовой карты). Однако из-за невысокой надежности многократно повторяемого процесса записи-считывания запись на магнитную полосу во многих случаях не используется, и такие карты применяют только для считывания информации. Выявились в процессе использования и другие недостатки карт этого типа. Так, максимальный объем памяти магнитной полосы тоже не очень велик - менее 100 байт информации (всего несколько строк текста), что уже не устраивает многие современные системы. Не вполне удовлетворительными являются и эксплуатационные характеристики таких карт: магнитная полоса слабо защищена от механического, физического и химического воздействия, довольно быстро выходит из строя. Поэтому гарантированный срок службы магнитных карт не превышает двух лет.

 

К тому же магнитная полоса не обеспечивает достаточного уровня защиты информации от мошенничества и подделок. Для частичного устранения этого недостатка во многих системах стали применяться средства дополнительной защиты: необходимость ввода PIN-кода при выполнении авторизации, голографические метки, реальная подпись владельца и т. п., что, естественно, усложняло процесс использования карт.

 

Чиповые карты

 

Недостатки, присущие картам с магнитной полосой, обусловили проведение в течение ряда лет широкомасштабных работ по поиску более надежного способа записи информации. И в итоге такой способ был найден: быстрое развитие микроэлектроники позволило создавать бескорпусные интегральные схемы (чипы), которые благодаря своим малым размерам и высокой надежности могли быть "упакованы" в пластиковую карточку.

Специфической особенностью этих карт является наличие в них микросхем, выполняющих функции элемента памяти, содержимое которого может изменяться на фиксированную величину (например, автоматически уменьшаться в зависимости от продолжительности телефонных переговоров).

У существующих карт этого типа объем памяти может иметь величину от 32 байт до 16 килобайт. Такие карточки бывают как разовые (память в них реализована в виде ППЗУ, допускающего однократную запись при изготовлении и многократное считывание с уменьшением содержимого), которые после полного использования выбрасываются, так и позволяющие производить многократную перезапись (ЭСППЗУ).

Подобные карты-счетчики получили распространение в различных системах с предоплатой услуг: местные междугородные и международные телефоны-автоматы, счетчики времени парковки, турникеты в метро, на платных автомагистралях и т. д. Число находящихся в обращении карт этой группы в 2003 году оценивалось величиной порядка 2,5 млрд штук.

 

 

Смарт-карты

 

Однако наибольшие перспективы развития чип-технологии открылись в связи с появлением карт со встроенными микропроцессорами. Такие карты, называемые смарт-картами ("интеллектуальными" картами), представляют собой по сути микрокомпьютеры и содержат все соответствующие основные аппаратные компоненты: центральный процессор, ОЗУ, ПЗУ, ППЗУ, ЭСППЗУ. Типовые параметры наиболее мощных современных микропроцессорных карт вполне сопоставимы с характеристиками персональных компьютеров начала 80-х годов: ЭСППУ - от 2 до 8 Кбайт, ПЗУ - до 16 Кбайт, ОЗУ - 512 байт, тактовая частота - от 1 до 10 МГц. Операционная система, хранящаяся в ПЗУ такой карты, принципиально не отличается от операционной системы ПК и предоставляет большой набор сервисных операций и средств безопасности. Она поддерживает файловую систему, базирующуюся в ЭСППЗУ и обеспечивающую регламентацию доступа к данным. При этом часть данных может быть доступна только внутренним программам карты, что вместе со встроенными криптографическими средствами делает смарт-карту высокозащищенным средством, которое может быть использовано в приложениях, предъявляющих повышенные требования к защите информации. Например, в случае несанкционированного доступа (при неправильном наборе кодов доступа) смарт-карта может самостоятельно прекращать работу на какое-то время или навсегда.

 

Характерный пример смарт-карт в связи - SIM-карта GSM. Вставив такую карту в мобильный телефон и введя личный идентификационный номер, пользователь автоматически присваивает данному телефону свой телефонный номер. Смарт-карты довольно надежны и достаточно долговечны. Время хранения информации на них составляет не менее 10 лет, а перезаписывать информацию можно, как минимум, 10 тыс. раз.

 

Благодаря широким возможностям смарт-карты рассматриваются в настоящее время как наиболее перспективный вид пластиковых карт. Вычислительные мощности смарт-карт позволяют использовать одну и ту же карту для очень многих целей и хранить информацию как о пользователе (служить рабочим пропуском, паспортом, правами, медкартой, и т. д.), так и, например, о его банковском счете, реализуя функцию "электронного кошелька".

 

 

Смарт-карты имеют различную емкость, объем памяти обычной карты составляет приблизительно 256 байт, но существуют карты с объемом памяти от 32 байт до 8 Кбайт. Микросхемы позволяют хранить в памяти такой карты, кроме идентификационной информации, и стоимостные показатели.

Рассмотрим типологию смарт-карт. В зависимости от внутреннего устройства и выполняемых функций специалисты подразделяют смарт-карты на два вида:

• карты с памятью;

• микропроцессорные карты.

Карты с памятью. Это название весьма условно, так как все смарт-карты имеют память. Обычно карты подобного типа используются для хранения информации. Существуют два подтипа подобных карт: с незащищенной и с защищенной памятью.

В картах с незащищенной памятью нет ограничений по чтению или записи данных. Иногда их называют картами с полнодоступной памятью. Можно произвольно структурировать карту на логическом уровне, рассматривая ее память как набор байтов, который можно скопировать в оперативную память или обновить специальными командами.

Карты с незащищенной памятью использовать в качестве платежных крайне опасно. Достаточно легально приобрести такую карту, скопировать ее память на диск, а дальше после каждой покупки восстанавливать ее память копированием начального состояния данных с диска, т.е. шифрование данных в памяти карты от мошенничества подобного рода не спасает. Практика показывает, что в России людей, способных на такое занятие, достаточно.

В карточках с защищенной памятью используется специальный механизм для разрешения чтения/записи или стирания информации. Чтобы провести эти операции, надо предъявить карте специальный секретный код (а иногда и не один). Предъявление кода означает установление с ней связи и передачу кода «внутрь» карты. Сравнение кода с ключом защиты чтения/записи (стирания) данных проведет сама карта и «сообщит» об этом устройству чтения/записи смарт-карт. Чтение записанных в память карты ключей защиты или копирование памяти карты невозможно. В то же время, зная секретный код (коды), можно прочитать или записать данные, организованные наиболее приемлемым для платежной системы логическим образом. Таким образом, карты с защищенной памятью годятся для универсальных платежных применений, хорошо защищены, и при этом недороги. Так, цена карты СРМ896 составляет не более 4 долл. для тиражей выше 5 тыс. экз.

Как правило, карты с защищенной памятью содержат область, в которую записываются идентификационные данные. Эти данные не могут быть изменены впоследствии, что очень важно для обеспечения невозможности подлога карты. С этой целью идентификационные данные на карте «прожигаются».

Необходимо также, чтобы на платежной карте были, по меньшей мере, две защищенные области. Уже отмечалось, что в технологии безналичных расчетов по картам участвуют обычно три юридически независимых лица: клиент, банк и магазин. Банк вносит деньги на карту (кредитует ее), магазин снимает деньги с карты (дебетует ее), и все эти операции должны совершаться с санкции клиента. Таким образом, доступ к данным на карте и операции над ними надо разграничивать. Это достигается разбиением памяти карты на две защищенные разными ключами области - дебетовую и кредитную. Каждый участник операции имеет свой секретный ключ.

Для защиты областей данных от несанкционированного доступа предусматриваются поля, контролирующие доступ к этим данным. Существуют три типа ключей:

I-Кеу - ключ банка,

Р-Кеу - ключ владельца карточки - PIN-код,

А-Кеуs - ключи торговых организаций или иных приложений.

 

Использование этих ключей дает возможность доступа к чтению информации из соответствующей области или записи информации. Как правило, активизация одного ключа позволяет только читать информацию, а активизация сразу всех ключей ее - и записывать.

Правильное предъявление ПИН-кода открывает доступ к карте (по чтению данных), однако не должно менять информацию, которой распоряжается кредитор карты (банк) или ее дебитор (магазин). Ключ записи информации в кредитную область карты имеется только у банка; ключ записи информации в дебетную область - у магазина. Только при предъявлении сразу двух ключей (ПИН-кода клиента и ключа банка при кредитовании, ПИН-кода клиента и ключа магазина при дебетовании) можно провести соответствующую финансовую операцию - внести деньги либо списать сумму.