1

Máster enComercio

Electrónico

TARJETAS INTELIGENTES

Dpto. de Ingeniería Telemática - Universidad Carlos III de Madrid

Mª Celeste Campo Vázquezceleste@it.uc3m.es

2

Máster enComercio

Electrónico

Índice

• Introducción

• Tipos de tarjetas

• Arquitectura

• Lectores de tarjetas y terminales

• Seguridad

• Estándares y tecnologías

• Aplicaciones

3

Máster enComercio

Electrónico

IntroducciónDefinición y ventajas

• Dispositivo electrónico insertado en una tarjeta de plástico

• Proporciona:

– Almacenamiento persistente y protegido

– Capacidad de procesamiento

• Amplio uso en Europa y Asia:

– 70% de los europeos usa tarjetas inteligentes:

• Telefonía móvil

• Sistema sanitario

• Parkings y tickets

4

Máster enComercio

Electrónico

IntroducciónUso

5

Máster enComercio

Electrónico

IntroducciónMercado

Fuente: Market 2004 Worldwide shipment EuroSmart (http://www.eurosmart.com)

6

Máster enComercio

Electrónico

IntroducciónMercado por regiones

Fuente: Market 2004 Worldwide shipment EuroSmart (http://www.eurosmart.com)

7

Máster enComercio

Electrónico

IntroducciónPerspectiva de mercado en 2005

Fuente: Market 2004 Worldwide shipment EuroSmart (http://www.eurosmart.com)

8

Máster enComercio

Electrónico

IntroducciónHistoria

• Tarjetas de papel:

– Primeras tarjetas

– Utilizadas como tarjetas de visita

– Se deterioran fácilmente

• Principios de los años 50 en EEUU aparecen las tarjetas de plástico:

– Mayor duración y mejor imagen

– Datos impresos en relieve

– Seguridad basada en métodos visuales

– Dinners Club las utiliza por primera vez para que sus mejores clientes realizarán sus pagos

9

Máster enComercio

Electrónico

IntroducciónHistoria

• A las tarjetas de plástico se le añade una banda magnética:– Gran difusión gracias a su uso masivo en la Banca Mundial– Se basa en los mismos mecanismos que las cintas de

música o vídeo– Permite automatizar los procesos– Mayor seguridad: protección a través de un PIN

• Inconvenientes:– Los datos están grabados superficialmente– Relativamente sencillo y poco costoso realizar duplicados– Sensible a campos electromágneticos existente que pueden

deteriorar la banda magnética– Capacidad reducida de almacenamiento (255 caracteres)

10

Máster enComercio

Electrónico

IntroducciónHistoria

• A principios de los 70 y gracias a los avances de la microelectrónica a las tarjetas de plástico se les incorporá un circuito integrado (chip).

• A finales de los 70 comienzan a aparecer los primeros productos comerciales, como resultado de proyectos tecnológicos franceses en campos como la banca, la telefonía pública, la sanidad, la universidad,...

• En los años 80 se implanta con éxito:– Carte Bancaire (1982/1984)– Servicio de telecomunicaciones (1984).

• Nuevos campos de aplicación: prepago telefónico, tarjetas monedero,...

11

Máster enComercio

Electrónico

Tipos de tarjetasIntroducción

• Clasificación:

– Tipo de circuito integrado

• Tarjetas de memoria

• Tarjetas con microprocesador

– Mecanismo de conexión tarjeta/lector:

• Tarjetas con contactos

• Tarjetas sin contactos

• Tarjetas híbridas

12

Máster enComercio

Electrónico

Tipos de tarjetasTarjetas de memoria

• Se utilizan fundamentalmente como dinero electrónico, las más conocidas son las tarjetas de pre-pago telefónico de las cabinas.

• Proporcionan mayor seguridad que las tarjetas de banda magnética pero tienen un coste superior.

• Su seguridad no es suficiente para ciertas operaciones. Se distinguen dos niveles:– Tarjetas protegidas o tarjetas lógicas.

– Tarjetas no protegidas.

• Capacidad de almacenamiento limitada (aprox. 4KB).• Mayor complejidad en el lector que en la tarjeta.• Otras aplicaciones:

– Tarjetas de sistema sanitario.

– Tarjetas de fidelización.

13

Máster enComercio

Electrónico

Tipos de tarjetasTarjetas con microprocesador

• Son las que se denominan tarjetas inteligentes o smart cards.

• Su mayor difusión en los últimos años se ha conseguido por su uso en telefonía móvil GSM.

• Su valor añadido viene por su capacidad de proceso:– Mayor seguridad.– Capacidad de realizar nuevas operaciones de forma interna.

• Mayor capacidad de almacenamiento (aprox. 4-64KB).• El coste de las tarjetas es elevado lo que impide su utilización

en determinadas aplicaciones, aunque:– Los lectores son menos complejos y por lo tanto menos costosos.

• Pueden ser multiaplicación y multiproveedor.• Lenta aceptación de estas tarjetas en el sistema bancario.

14

Máster enComercio

Electrónico

Tipos de tarjetasTarjetas con contactos

• Estandarizado por ISO7816-2

• Existen tarjetas de 6 contactos (tarjetas telefónicas).

• Los contactos pueden ser un punto débil.

• Aplicaciones: bancarias, telefonía móvil,...

15

Máster enComercio

Electrónico

Tipos de tarjetasTarjetas sin contactos

• Pueden ser:

– De memoria: se les llama normalmente Tags.

– Inteligentes: son las que se conocen como tarjetas sin contactos

• Comunicación entre el lector y la tarjeta a través de señales electromagnéticas:

– RF de baja potencia: alcanza distancias de hasta 10 m.

– RF de alta potencia: alcanzan distancias superiores a 10 m.

• Ventaja: menor número de fallos.

• Inconvenientes: mayor potencia del micro, mayor complejidad, mayor coste.

• Se emplean en sistemas con:

– Transacciones rápidas.

– Información intercambiada reducida.

• Transporte público, acceso a edificios,...

16

Máster enComercio

Electrónico

ArquitecturaIntroducción

• CPU:

– Procesador de 8 bits/16 bits

– Coprocesador criptográfico

– 5 Mhz, 5V/3V

• ROM (Read Only Memory):

– SISTEMA OPERATIVO

– Datos y aplicaciones almacenados en producción

– 16 KB

• EEPROM (Electrical Erasable Programmable ROM)

– SISTEMA DE FICHEROS (datos)

– Aplicaciones

– 32 KB

• RAM (Random Access Memory):

– 4KB

17

Máster enComercio

Electrónico

ArquitecturaSistema Operativo

• Dota a la tarjeta de inteligencia• El sistema operativo se encarga:

– Gestionar la memoria:• Normalmente se organiza en un sistema de ficheros• Controla las estructuras de datos dentro de los ficheros

– Seguridad:• Control de acceso a los ficheros• Restringir las operaciones que se pueden hacer con los

ficheros• No dejar que se ejecute nada que no esté contemplado• Operaciones criptográficas: creación de claves,

firma/verificación, cifrado/descifrado,...

– Juego de instrucciones establecido:• Identifica qué operaciones se pueden realizar, y cómo deben

utilizarse

18

Máster enComercio

Electrónico

ArquitecturaSistema Operativo

• Propietarios de propósito específico:– Son sistemas operativos creados con una misión específica,

para una tarjeta monedero, para una tarjeta GSM,...

• Propietarios de propósito general:– Son sistemas operativos creados por fabricantes, con el

objetivo de poder utilizarse en diferentes aplicaciones– El desarrollo de aplicaciones está cerrado– Gran variedad y con múltiples diferencias

• Abiertos:– Son sistemas operativos sobre los que se pueden

programar aplicaciones en lenguajes de más alto nivel (C o Java).

– El desarrollo de aplicaciones se abre a terceros

19

Máster enComercio

Electrónico

ArquitecturaSistema de ficheros

• La mayoría de la tarjetas tienen un sistema de ficheros similar al que tenemos en nuestro ordenador

• Sistema de ficheros formado por:– Ficheros dedicados (DF): son el equivalente a los carpetas

(directorios):• Fichero maestro (MF): directorio raíz

– Ficheros elementales (EF): son el equivalente a los ficheros (archivos).

• Se realiza direccionamiento lógico utilizando identificadores de ficheros (FID) de 2 bytes

• Se establecen condiciones de seguridad de acceso a los ficheros:– DF se protegen las operaciones de creación/borrado

– EF se protegen las operaciones de creación/borrado y lectura/escritura

20

Máster enComercio

Electrónico

ArquitecturaConjunto de Instrucciones

• Varios estándares definen conjuntos de instrucciones que pueden soportar las tarjetas inteligentes:– ISO/IEC 7816-4– GSM 11.11– EN 726-3– prEN 1456

• También existen tarjetas programables: aceptan la carga dinámica de programas, y son éstos los que determinan los comandos que soporta la tarjeta:– Java Card– MultOS– WfSC

21

Máster enComercio

Electrónico

Lectores de tarjetas y terminales

• Lectores de tarjetas: conectores que actúan como interfaz entre la tarjeta y el dispositivo de comunicación

• Terminales: computador con capacidad de control de acceso a la tarjeta

– PINpads

– Terminales de punto de venta

– Cajeros automáticos

– Controles de acceso mediante identificación biométrica

• Ejemplos: http://www.axalto.com/products/terminals.asp

http://www.axalto.com/infosec/egate.asp

22

Máster enComercio

Electrónico

Lectores de tarjetas y terminalesComunicación terminal-tarjeta

• Tarjeta nunca inicializa la comunicación

• Protocolo de comunicación en tres capas:

– Aplicaciones

– APDU (Application Protocol Data Unit)

• Definido por el estándar ISO7816-4

– T=0 y T=1

• Variantes de protocolo asíncrono de comunicación half-duplex

• Definido por el estándar ISO7816-3

23

Máster enComercio

Electrónico

SeguridadIntroducción

• ¿Por qué son más seguras las tarjetas inteligentes?

– Almacena y comprueba el PIN/Password internamente

– Ejecución de algoritmos criptográficos internamente

– Por lo tanto, nunca se envía información sensible al sistema externo para su comprobación

• Ciclo de vida:

– Fase de fabricación

– Fase de pre-personalización

– Fase de personalización

– Fase de utilización

– Fase final

24

Máster enComercio

Electrónico

SeguridadHardware

• Mecanismos de protección:

– Procesador y memoria en el mismo chip, ocultar los buses, anular modos de prueba,...

– Detección de variaciones en la señal del reloj, reguladores del voltaje,...

• Ataques:

– Lectura óptica de la memoria

– Manipulación externa de la señal del reloj

– Altas temperaturas, rayos-X

– Análisis del voltaje suministrado a la tarjeta

25

Máster enComercio

Electrónico

SeguridadSoftware

• Mecanismos de protección:

– PIN y contadores

– Test de inicio

– Control de I/O por el sistema operativo

– Desactivación completa por software

– Seguridad introducida en las aplicaciones

• Ataques:

– Análisis de las instrucciones soportadas

– Suplantación de la entidad externa (PIN)

26

Máster enComercio

Electrónico

SeguridadAutenticación usuario - tarjeta

• PIN:– Método más utilizado…pero no es el más seguro

• Métodos biométricos:– Características físicas pertenecientes al usuario

– Varios métodos:

• ADN

• Huella dactilar

• Iris

• ….

– Necesidades:

• No invasivo

• Coste de almacenamiento/procesamiento

27

Máster enComercio

Electrónico

SeguridadInteracción tarjeta - aplicación

• Autenticación externa: terminal ante la tarjeta

• Autenticación interna: tarjeta ante el terminal

• Seguridad de mensajes:

– Modo de operación protegido (MAC: Message Authentication Code)

• Autenticación e integridad

– Modo de operación protegido (MAC+cifrado)

• Autenticación, integridad y confidencialidad.

28

Máster enComercio

Electrónico

SeguridadFunciones criptográficas

• Almacenamiento seguro:

– Algoritmos de clave privada: clave

– Algoritmos de clave pública: clave privada y certificado

• Cálculos criptográficos:

– Algoritmos de clave privada: DES, 3-DES

– Algoritmos de clave pública: RSA, DSA, curvas elípticas (sin coprocesador)

• Mecanismos seguros: las claves no abandonan la tarjeta.

29

Máster enComercio

Electrónico

Estándares y tecnologías

• Estándares:– ISO7816

– EMV ICC

• Tecnologías:– Desarrollo de aplicaciones off-card:

• OCF

• PC/SC

– Desarrollo de aplicaciones on-card:• Java Card

• WfSC

• MultOS

• Visa Open Platform

30

Máster enComercio

Electrónico

AplicacionesComercio electrónico

• Proporcionar seguridad a las aplicaciones: autenticación, no repudio y privacidad.

• Usos principales:

– Almacén de dinero que nos permita realizar pagos en la red

– Medio de autenticación de usuarios

– Realizar firmas digitales

– Privacidad en las comunicaciones

– Tickets electrónicos

– Aplicaciones de fidelización

31

Máster enComercio

Electrónico

AplicacionesOtras

• Autenticación y acceso seguro:

– Alternativa al uso de passwords

– Ejemplos:

• Acceso a estaciones de trabajo

• Acceso a redes

• Comunicaciones seguras

• Sistema sanitario:– Identificación del paciente

– Almacenamiento seguro de información del paciente

32

Máster enComercio

Electrónico

AplicacionesOtras

• Sistemas bancarios:

– Monederos electrónicos:

• Ventajas: sistemas de pago off-line, pagos pequeños

• Desventajas: incompatibilidad entre los diferentes sistemas

– Tarjetas de crédito/débito (American Express, VISA,...)

• Telefonía móvil GSM:

– Seguridad en las comunicaciones

– Independencia del terminal móvil

– Desarrollo de nuevas aplicaciones proporcionando servicios de valor añadido SIM Application Toolkit

33

Máster enComercio

Electrónico

AplicacionesOtras

• DNI digital que incluirá:

– Un certificado electrónico para autenticar la personalidad del ciudadano.

– Un certificado para firmar electrónicamente, con la misma validez jurídica que la firma manuscrita.

– Claves para su utilización.

– La fórmula de la huella digital en formato electrónico.

– La fotografía digitalizada.

– La imagen digitalizada de la firma manuscrita.

– Los datos impresos en la tarjeta.

34

Máster enComercio

Electrónico

Resumen

• Tarjetas inteligentes mecanismo que proporciona un alto nivel de seguridad al consumidor en B2C

• Su implantación masiva presenta problemas:

– Interoperabilidad

– Coste de la tarjetas

35

Máster enComercio

Electrónico

TARJETAS INTELIGENTESJava Card

Dpto. de Ingeniería Telemática - Universidad Carlos III de Madrid

Mª Celeste Campo Vázquezceleste@it.uc3m.es

36

Máster enComercio

Electrónico

Índice

• Introducción

• Características

• Alternativas:– Windows for Smart Card– MULTOS

• Comparativa

37

Máster enComercio

Electrónico

Introducción

• Java Card permite tener tecnología Java en tarjetas inteligentes

• Ventajas:– Independencia de plataforma– Multiaplicación– Flexibilidad– Aplicaciones post-personalización– Compatible con estándares de tarjetas inteligentes– Gran comunidad de desarrolladores– “Write Once Run Anywhere”

38

Máster enComercio

Electrónico

Características Arquitectura Java Card

Hardware y sistema nativo de la tarjeta inteligente

Métodos nativosJCVM

CLASES DEL SISTEMA

GESTIÓN DE APPLETS

GESTIÓN DE TRANSACCIONES I/O OTROS

SERVICIOS

API EXTENSIONESESPECíFICAS INSTALADOR

JCRE

Applets Applet monedero

AppletID

Appletfidelización

39

Máster enComercio

Electrónico

CaracterísticasLimitaciones Java Card

• Gestión dinámica de contenidos en la tarjeta: – Open Platform desarrollada por VISA:

• Descarga/borrado dinámica y segura de aplicaciones.• Canales de comunicación seguros entre aplicación del

host y aplicación en la tarjeta.• PIN global compartido entre aplicaciones.

• Interoperabilidad entre Java Card de diferentes fabricantes

• Mejora de herramientas de desarrollo

40

Máster enComercio

Electrónico

WfSC: Windows for Smart Card

• Introducción de Microsoft en las tarjetas inteligentes.• Primera versión estable en Mayo de 1999 (WfSC

v1.1)• Tiene licencia como sistema operativo.• Características:

– Configuración del sistema operativo:• GSM.• Funciones criptográficas.• ISO 7816-4.

– Card Manager opcional.– Tarjeta multifunción más que mutiaplicación.

• Aplicaciones en Visual Basic.• No define las gestión de contenidos de la tarjeta:

posible adopción de OP.

41

Máster enComercio

Electrónico

MULTOS

• Origen en el sector financiero para monedero electrónico.

• Especificaciones estables desde 1998.• Características:

– Máquina virtual MULTOS adaptada a tarjetas inteligentes.– Aplicaciones en lenguaje MEL y C.– Security Manager con criptografía RSA (co-procesador

criptográfico) obligatorio.– Certificación ITSEC E6.– Descarga de aplicaciones después de la entrega al usuario

final.• Versión actual MULTOS 5 (Septiembre 2000):

– Interfaz dual: con y sin contactos.– Soporte GSM: SecureSIM.

42

Máster enComercio

Electrónico

Comparativa*

• Por tamaño de código:– MULTOS aplicaciones en MEL.– Java Card aplicaciones en Java.– WfSC aplicaciones en Visual Basic.

• Por velocidad de ejecución:– MULTOS aplicaciones en MEL.– MULTOS aplicaciones en C.– Java Card aplicaciones en Java.

* Fuente: Consult Hyperion

43

Máster enComercio

Electrónico

Comparativas técnicas

Java Card MULTOS WfSC

Ámbito API

JVM

JCRE

VM

API

Entorno de ejecución

Gestor de aplicaciones

S.O. Configurable

Multifunción no multiaplicación

Portabilidad Portabilidad a nivel de bytecode (JC2.1)

Portabilidad de ejecutables

Sin probar

Personalización Personalización previa a la descargar

Personalización previa y post descarga.

Sin probar

44

Máster enComercio

Electrónico

Comparativas técnicas

Java Card MULTOS WfSC

Lenguaje Java MEL, C, Java Visual Basic

Extensión del API

API extensible Definidas en el estándar:interfaz sin contactos y aplicaciones GSM

Definidas en el estándar: GSM e ISO 7816-4

Procesador Optimizado para 32 bit

Optimizado para 8 bit

RSA co-procesador

Diseñado para procesadores de 8 bit

Seguridad Completa a través de los Protection Profile

Completa Nivel básico configurable

45

Máster enComercio

Electrónico

Referencias

• Smart Card Application Development Using Java. Hansmann, Nickous, Schäck, Seliger.

• Smart Card Developer's Kit. Scott B. Guthery, Timoty M. Jurgensen.

• Multos: http://www.multos.com

• ISO: http://www.iso.sh

• EMV ICC, Visa Open Platform: http://www.visa.com

• OCF: http://www.opencard.org

• Java Card: http://java.sun.com/products/javacard/index.jsp

• MULTOS: http://www.multos.com

• WfSC:

– http://www.microsoft.com/technet/Security/topics/smrtcard/smrtcdcb/sec1/smartc01.mspx