что такое смарт карта для ноутбука
Техническая справка по смарт-картам
Применяется к: Windows 10, Windows 11, Windows Server 2016 и выше
Технический справочник smart Card описывает инфраструктуру Windows для физических смарт-карт и работу компонентов, связанных с смарт-картами, в Windows. В этом документе также содержатся сведения о средствах, которые разработчики и администраторы информационных технологий могут использовать для устранения неполадок, отладки и развертывания сильной проверки подлинности на основе смарт-карт на предприятии.
Аудитория
В этом документе объясняется, как Windows инфраструктура смарт-карт. Чтобы понять эту информацию, необходимо иметь базовые знания об инфраструктуре общедоступных ключей (PKI) и понятиях смарт-карт. Этот документ предназначен для:
Enterprise ИТ-разработчики, менеджеры и сотрудники, которые планируют развертывание или использование смарт-карт в своей организации.
Поставщики смарт-карт, которые пишут минидрайверы смарт-карт или поставщики учетных данных.
Что такое смарт-карты?
Смарт-карты — это переносные портативные устройства, которые могут повысить безопасность таких задач, как проверка подлинности клиентов, подписание кода, защита электронной почты и вход с Windows учетной записью домена.
Хранилище с устойчивостью к взлому для защиты частных ключей и других форм личной информации.
Изоляция критически важных для безопасности вычислений, которые включают проверку подлинности, цифровые подписи и обмен ключами с других частей компьютера. Эти вычисления выполняются на смарт-карте.
Переносимость учетных данных и другой личной информации между компьютерами на работе, дома или в пути.
Смарт-карты можно использовать для входов только в учетные записи домена, а не для локальных учетных записей. При использовании пароля для интерактивного доступа к учетной записи домена Windows для проверки подлинности используется протокол Kerberos версии 5 (v5). При использовании смарт-карты операционная система использует проверку подлинности Kerberos v5 с сертификатами X.509 v3.
Виртуальные смарт-карты были Windows Server 2012 и Windows 8 для облегчения необходимости физической смарт-карты, средства чтения смарт-карт и связанного администрирования этого оборудования. Сведения о технологии виртуальных смарт-карт см. в обзоре виртуальных смарт-карт.
Что такое смарт-карта? Описание и область применения смарт-карт
Своё название данный вид идентификаторов получил от английского словосочетания smart card, что буквально переводится как «умная карта». Дело в том, что, в отличие от карт с открытой памятью, на борту смарт-карты находится микропроцессор со своей операционной системой, контролирующий доступ и осуществляющий обработку информации непосредственно в чипе карты.
Доступ к конфиденциальной информации, хранящейся в памяти смарт-карты, как правило, защищён ПИН-кодом, который в целях повышения уровня безопасности необходимо периодически менять.
Наибольшее распространение смарт-карта получила в виде пластиковой карты с размещённой на её корпусе контактной площадкой для считывателей контактных смарт-карт. На самом деле можно выделить несколько наиболее популярных разновидностей смарт-карт:
На сегодняшний день является наиболее распространённым вариантом смарт-карты. Для работы с картой требуется считыватель смарт-карт (карт-ридер).
Набирающий всё большую популярность вид электронного идентификатора. Считывание карт данного типа производится дистанционно проксимити считывателями, без необходимости подключения карты непосредственно к устройству чтения.
Примером бесконтактных смарт-карт могут служить RFID-карты семейства MIFARE, карты стандарта iCLASS. Наибольшее распространение карты данных стандартов получили в системах контроля доступа и учёта рабочего времени, системах авторизации на компьютерах по смарт-картам, платёжных системах развлекательных комплексов, транспортных проектах для оплаты проезда, а также в качестве электронного паспорта.
Получили широкое распространение в сфере информационной безопасности, благодаря компактным размерам и отсутствию необходимости иметь дополнительно считывающее устройство (ключ подключается непосредственно к USB-порту компьютера).
Используются, как правило, для защиты информации, обрабатываемой на персональных компьютерах и серверах, а также в качестве средства аутентификации при доступе к компьютеру и в сеть. Разновидностью данного типа идентификатора могут служить электронные ключи JaCarta и eToken.
Представляют собой изделия, сочетающие в едином корпусе несколько технологий. Например, бесконтактная смарт-карта, совмещённая в одном корпусе с чипом контактной карты.
Смарт-карты. Часть 1. Принципы работы
Все мы пользуемся разными видами смарт-карт в повседневной жизни. Наиболее яркими примерами смарт-карт являются: SIM-карты, кредитные карты, электронные документы и т.д.
По сути, смарт-карта — это оптимизированный для криптографии микроконтроллер с повышенным уровнем безопасности. Что это означает? В отличие от стандартного микроконтроллера доступ к памяти смарт-карты строго контролируется процессором. Таким образом, чтение данных с карты их написание на ней регулируются ПО самой карты. Более того, производители чипов предпринимают меры по предотвращению несанкционированного доступа (копирования всей памяти, перепрограммирования) к карте на электронном и физическом уровне.
Применение смарт-карты
Смарт-карта используется в тех случаях, когда необходимо удостоверить подлинность ее обладателя. Примером тому служит SIM-карта. Ее главной ролью является доказать оператору, что телефон, подключившийся к сети, принадлежит конкретному абоненту. После подобной проверки оператор сможет направлять коммуникацию с номера и на номер абонента именно тому телефону, а также регистрировать платежный баланс абонента.
Работа смарт-карты
Карты не работают автономно, а только в связке с так называемым терминалом (телефон, банкомат, иной проводной или беспроводной электронный читатель). Читатель обеспечивает карту электричеством и посылает команды. Карта никогда не инициирует коммуникацию, а всегда обязательно отвечает на любые посланные ей терминалом команды. В случае отсутствия ответа карта будет считаться «MUTED», т.е. не работающей. В подобной ситуации терминал либо никак не реагирует на ошибку, либо пытается восстановить общение с картой после осуществления RESET.
На логическом уровне коммуникация между терминалом и картой происходит в формате APDU, описанном стандартом ISO7816-4. Что касается физического уровня, то выше упомянутое общение регулируется не каким-то одним определенным стандартом, а их множеством. К примеру, существуют стандарты для контактного (ISO7816-3 T=0 и T=1, USB и т.д.) и бесконтактного (ISO14443, NFC/SWP) общения.
Карты Native и Javacard
Некоторые смарт-карты выходят в производство с уже заранее установленными на них и не подлежащими изменению, дополнению, либо удалению одной или более программами, предназначенными для исполнения конкретных функций (SIM и USIM, EMV и т.д.). Подобные карты, носящие название Native, являются привлекательными благодаря их низкой цене (при оптовых закупках) и относительной простоте используемого для их программирования кода, что уменьшает вероятность проблем с безопасностью карты. Однако наиболее интересными, на мой взгляд, картами являются карты на основе JavaCard и Global Platform, в которых ОС карты — это платформа, на которой можно установить различные приложения. Приложения, написанные для JavaCard, с использованием стандартных API, можно будет загрузить на все карты, поддерживающие совместимую версию платформы, вне зависимости от производителя карты. Что касается Global Platform, то это набор спецификаций, регулирующий безопасную администрацию карты, в том числе установку, блокировку либо удаление тех или иных приложений, а также управление жизненным циклом (Life Cycle) карты.
Маленькое примечание по поводу администрации карты. Пользователь карты, как правило, не является владельцем и администратором карты. К примеру, администратором SIM-Карты является оператор мобильной связи, а не абонент. Только оператор имеет право устанавливать или удалять приложения на/с карты. Тем не менее, существует также возможность приобрести «пустые» карты для собственной разработки приложений.
Таким образом, в данной части своей статьи я коснулся базиса работы смарт-карты, как на внешнем, так и на внутреннем уровне, а также дал краткое определение понятия смарт-карты. Следующие части статьи я хотел бы посвятить:
Смарт-карты: самое подробное руководство по выбору
Оглавление
Смарт-карты
Некоторые вещи вошли в нашу жизнь настолько прочно и стали настолько повседневными, что используя их мы не задумывается как и почему они работают. Щелкаем кнопкой, включаем или выключаем, достаем и прикладываем, и мозг даже не отслеживает использование этой вещи, это называется бытовой автоматизм. Ну ладно, «бытовой автоматизм» я только что придумала. А вообще речь пойдет о смарт-картах. Которые каждый человек использует каждый день, но редко кто знает как оно работает и что это вообще такое внутри этой карточки.
Что такое смарт-карта?
Операционные системы смарт-карт
Типы смарт-карт
Смарт-карты изготавливаться из пластика с одним или несколькими чипами внутри. Именно чип делает обычную пластиковую карту «смарт».
Дальнейшее покажется вам оксюмороном, но смарт-карты могут быть выполнены не только в формате карты.
Контактные смарт-карты
Стандартный вид контактов чипа смарт-карт
Контактные карты памяти
Контактные карты с защищенным / сегментированным типом памяти
Эти карты имеют встроенную логику для контроля доступа к памяти карты. Иногда называемые интеллектуальными картами памяти, эти устройства можно настроить для защиты от записи части или всего массива памяти. Некоторые из этих карт могут быть настроены так, чтобы ограничивать доступ как для чтения, так и для записи. Обычно это делается с помощью пароля или системного ключа. Сегментированные карты памяти можно разделить на логические разделы для планируемой многофункциональности. Эти карты отслеживаются по идентификатору на карте. В картах такого типа на борту имеется от 3 Кбит до 64 Кбит памяти типа EEPROM.
Контактные микропроцессорные (CPU / MPU) карты
Память RAM (или оперативное запоминающее устройство) также является энергонезависимой и самой дорогостоящей памятью смарт-карты. Она используется процессором для хранения фрагментов исполняемого кода и промежуточных данных при выполнении операций, поскольку это самый быстрый вид памяти. Время доступа к ОЗУ составляет несколько десятков наносекунд.
Еще в смарт-картах для хранения данных используются память типа EPROM, EEPROM, FLASH и FRAM. Про них в разделе «Безопасные интегральные схемы и смарт-карты».
Сравнительные размеры реализации на кристалле разных типов памяти размером 1 бит
Контактные двухинтерфейсные карты
Бесконтактные смарт-карты
В основе любой бесконтактной карты лежит тот же элемент, что и у простейшего детекторного приёмника — колебательный контур, базовыми компонентами которого являются конденсатор и катушка индуктивности.
Считыватель излучает переменное электромагнитное поле стандартной частоты, что возбуждает переменный электрический ток в катушке индуктивности и в колебательном контуре карты. Этот ток преобразуется в постоянный и заряжает достаточно ёмкий конденсатор, который питает электроэнергией чип. Обмен информацией между картой и считывателем осуществляется через эту же катушку посредством модуляции колебаний электромагнитного поля устройства.
В простейшем случае карта циклически непрерывно передаёт только свой уникальный номер. В более сложных системах происходит двусторонний обмен информацией по принципу запрос-ответ. Часто карты обладают небольшой флеш-памятью и могут запоминать некоторый объём информации, например, изменять состояние счётчика или хранить произвольное число.
Бесконтактные смарт-карты памяти
Высокочастотные метки используются для отслеживания партий грузов, как пропуск автомобиля, в торговле, в качестве меток на товаре для защиты от краж. Такая метка может передавать сигнал в радиусе до 10 м, а значит считыватель можно установить на достаточном расстоянии, исключающем необходимость вручную сканировать товар или груз. Удобно использовать на парковочных объектах, или гаражных комплексах, поскольку водителю не нужно выходить из автомобиля для предъявления карты доступа на въезде. Высокочастотные метки бывают активные и пассивные.
Бесконтактные микропроцессорные (CPU / MPU) карты
Принцип работы бесконтактной микропроцессорной карты аналогичен работе контактной микропроцессорной карте, но с передачей данных радиочастотным способом. Благодаря микропроцессорной архитектуре карта имеет высокую степень защищенности.
Бесконтактные двух интерфейсные карты
Эти карты имеют несколько способов связи, включая ISO7816, ISO14443 и EPC gen 2, и несколько чипов в одной карте.
Многокомпонентные карты
Что делает смарт-карту безопасной
Безопасные интегральные схемы и смарт-карты
Микросхемы защищенной памяти
Микросхемы памяти используются, если для работы приложения на смарт-карте требуется только хранение данных и предъявляются минимальные требования к их защите. Данные могут быть любой информацией, требуемой определенным приложением смарт-карты, например, эмитент карты, серийный номер карты, или другая информация пользователя.
В качестве пользовательской памяти в смарт-карте используется память следующих типов: стираемая программируемая постоянная память (EPROM) или электрически стираемая программируемая постоянная память (EEPROM). Единица памяти EPROM в 4 раза дороже единицы памяти ROM и в 4 раза дешевле единицы памяти RAM.
Защищенные микроконтроллеры
Защищенный микроконтроллер представляет собой более сложную интегральную схему для смарт-карт. Из чего состоят микроконтроллеры видно на Рис. 3. Интегральные микросхемы защищенного микроконтроллера запрограммированы для динамического выполнения приложений, а также имеют криптографический механизм для безопасной обработки асимметричных и/или симметричных алгоритмов шифрования.
Одной из основных функций защищенного микроконтроллера является динамическая активная защита. Если пользователь или система не могут успешно пройти аутентификацию на микроконтроллере, то данные, хранящиеся на карте, не будут доступны. Целостность хранимых данных защищена набором контрмер, которые срабатывают, когда микроконтроллер обнаруживает попытку атаки.
Цели безопасных микросхем
Как достигается безопасность микросхем
Наиболее полная безопасность IC является многомерной. Ни один механизм безопасности не защищает полностью от широкого спектра возможных атак. Следовательно, конструкция защищенной интегральной схемы и ее использование в системе должны включать аппаратные, программные и системные контрмеры для защиты данных и транзакций. Безопасность должна быть неотъемлемой частью каждого развернутого решения для смарт-карт.
Безопасность данных
В микропроцессорных картах для обеспечения целостности и конфиденциальности передаваемых данных, аутентификации источника информации, а также вычисления криптограмм (цифровой подписи данных, состоящих из реквизитов карты, терминала и транзакции) используются симметричные и асимметричные криптографические алгоритмы. В качестве симметричного алгоритма шифрования в подавляющем большинстве случаев используется блочный алгоритм Triple DES или 3DES, имеющий длину ключа 112 битов и шифрующий блоки размером 64 бита. В качестве асимметричного алгоритма используется алгоритм RSA с модулем открытого ключа, изменяющимся в диапазоне от 1024 до 1984 битов.
Считыватели для смарт-карт
Организация передачи данных контактным способом
Канал ввода/вывода микросхемы для смарт-карты представляет собой однонаправленый последовательный интерфейс. Это означает, что в каждый момент по нему может передаваться только 1 бит информации и передаваться только в одном направлении (полудуплекс). В соответствии со стандартов ISO 7816-3 обмен данными между ридером и картой может производиться со скоростью до 115200 бит/с. Поддерживаемая картой скорость передачи данных определяется способностью асинхронного приемопередатчика умножать частоту внешнего или внутреннего тактового сигнала, UART интерфейсы поддерживают умножение тактового сигнала в 4, 8, 16 раз.
Организация передачи данных бесконтактным способом
Виды считывателей для смарт-карт
Стандарты, используемые в смарт-картах
Прежде всего, стандарты смарт-карт регулируют физические свойства, характеристики связи, параметры работы памяти и используемых данных.
Смарт-карты для самых маленьких
Поскольку статья вводная и обзорная, то рассматриваться будет простейшая разновидность смарт-карт — SIM-карты, полагаю, что таких карт на планете сейчас больше всего.
По сегодняшним меркам стандарт SIM выглядит архаично, но зато он идеален для первого знакомства с миром смарт-карт, усвоение принципов, которые заложены в основу этого стандарта, облегчит дальнейшее погружение в тему.
Если Вы «карточник», то вряд ли узнаете для себя что-то новое, разве что какие-нибудь не очень понятные моменты разложатся по полочкам, а может быть Вы разложете по полочкам то, что недопонял автор (но, напоминаю, держимся в рамках SIM!).
Смарт-карта является программно-аппаратным комплексом, по сути — миниатюрным компьютером, в состав которого входят, как минимум:
Часто, но не всегда, в состав карты входит и Java VM. ОС, как таковая, конечному пользователю не видна.
A0 A4 00 00 02 3F00
Для того, чтобы воспользоваться «услугами» этой инструкции, нужно иметь в виду, что она должна быть вызвана сразу после той команды, результат которой требуется запросить. При вызове любой инструкции, отличной от GET RESPONSE, контекст предыдущей команды будет утрачен.
Если какая-либо инструкция позволяет использовать после своего вызова GET RESPONSE, то она в SW2 возвращает объем данных в байтах, который вернет команда GET RESPONSE.
Одним из ярких применений GET RESPONSE является ее использование после команды SELECT — оно дает возможность получить полезную информацию о выбранном объекте файловой системы.
Подсистема хранения данных
Типы файлов
API смарт-карт предусматривает манипуляции с тремя типами файлов:
Файл, состоящий из фиксированного количества записей, причем все записи одинаковой длины, длина записи задается при создании файла.
Записей не может быть больше 255 шт., каждая запись не может быть длинее 255 байт.
Средство работы — пара READ RECORD/UPDATE RECORD.
Можно использовать как абсолютную (по номеру записи) так и относительную адресацию (следующая/предыдущая, но без цикличности).
Пример использования — записная книжка на SIM-карте.
В целом — то же, что и Linear Fixed, но со следующей дополнительной функциональностью:
При чтении: замкнутость — при использовании относительной адресации, переходя с последней на следующую запись попадаем на первую, переходя с первой на предыдущую запись, попадаем на последнюю.
При записи: допустима только относительная адресация с обращением только к предыдущей записи. Есть даже специальная команда, только для циклических файлов, которая обновляет самую старую запись файла (после этого она становится самой новой) — INCREASE.
Первая запись всегда хранит самые новые данные, а последняя — самые старые.
Пример использования — список ранее набранных номеров. Вообще, файлы данного типа используются гораздо реже, чем файлы других типов.
Разграничение доступа
Конечно же, то, что я здесь описал, не является реальной файловой системой — как правило, за этой абстракцией, на уровне ОС, спрятана знакомая всем FAT.
В завершение я просто обязан привести пример использования данного API в реальной жизни.
Думаю, многие уже догадались (или знали?), что самым известным и массовым устройством, использующим этот API постоянно и интенсивно, является обыкновенный мобильный терминал.
PS:
В следующей статье планирую рассказать о том, как можно применить полученные сейчас знания, работая с картой программно.