امنیت داده ها در کارت هاي هوشمند

وحید حیدري دانشجوي کارشناسی ارشد، رشته مدیریت فن آوري اطلاعات

کارت هاي هوشمند به عنوان یکی از بزرگترین دستاوردهاي فن آوري اطلاعات، تحولی شگرف در حوزه سیستمهاي کاربردي روزمره ایجاد کرده است. دو مقوله امنیت و همراه بودن از ویژگیهاي منحصربه

فرد این فن آوري هستند. کارت هاي هوشمند شامل اطلاعات با ارزشی از جمله اطلاعات هویتی و مالی اشخاص، سازمان ها و حتی کشورها در سطوح بین المللی می به همین دلیل حفظ امنیت و کنترل دسترسی به اطلاعات .باشند

. کارت هاي هوشمند از اهمیت ویژه اي برخوردار است

پیش گفتار

اولین بار کارت پلاستیکی حدود 60 سال پیش مورد استفاده قرار

گرفت. آنچه امروزه به عنوان کارت هوشمند تعریف می شود، کارتی است با تراشه اي الکترونیکی که علاوه بر قابلیت ذخیره سازي داده

.ها، قابلیت پردازش و تامین امنیت داده ها را نیز دارد 1968 هلموت و یورگن دو مهندس برق آلمانی اولین کارت تراشه را ثبت اختراع کردند.

2008 ادغام دو شرکت جم پلاس و آکسالتو با نام جمالتو که در حال حاضر پیشگام فن آوري هاي کارت هوشمند است.

2015 توزیع میلیاردها کارت هوشمند در سراسر جهان.

پیشینه

پیشینه

کارت هاي هوشمند داراي یک تراشه با قابلیت پردازش هستند. این کارت ها داراي قابلیت هاي زیادي در مقوله هاي امنیتی و چند کارکردي بودن هستند. شاید تنها محدودیت کارت هاي هوشمند،

حافظه و توان محاسباتی این کارت ها باشد. از کاربردهاي این کارت ها می توان به ،احراز هویت کنترل دسترسی، کاربردهاي بانکی و ارتباطات مخابراتی بی سیم که امنیت اطلاعات و حریم خصوصی در آن ها اهمیت بالایی دارد اشاره .نمود

کارت هوشمند

در حال حاضر کارت هاي هوشمند تقریباً یک کامپیوتر کامل، بدون نمایشگر و صفحه کلید هستند. هسته مرکزي کارت هوشمند قادر

است سلسله دستوراتی را که به آن داده می شود اجرا نماید. جهت مدیریت و اجراي این دستورات، مجموعه اي از توابع سطح بالا در

حافظه کارت نوشته می شوند. مجموعه توابعی که به صورت دائمی وغیرقابل تغییر درون حافظه

کارت نوشته می شوند را سیستم عامل کارت گویند.سیستم عامل، تراشه را قادر می سازد برنامه کاربردي را مطابق با فرامینی که توسط کاربر و از بیرون به کارت ارسال می شود، مدیریت و کنترل نماید.

امنیت در کارت های هوشمند

سیستم عامل تامین امنیت داده هاي کارت ازجمله: تبادل امن داده ها بین کارت و کارت خوان و کنترل دسترسی به حافظه را بر عهده

دارد. براي برقراري ارتباط کارت هوشمند با جهان خارج باید تراشه کارت درنزدیکی یا درون یک کارت خوان که معمولا با یک کامپیوتر در

ارتباط است، قرار بگیرداین تراشه ها . با استفاده از قدرت پردازشی که دارند، به بررسی دستورات فرستاده شده از سمت

کارت خوان پرداخته و آنها را از لحاظ امنیتی چک می کنند.

امنیت در کارت های هوشمند

تراشه کارت هوشمند در برابر هک شدن مقاوم است و قابلیت ذخیره سازي حجم زیادي از اطلاعات امنیتی، انجام وظیفه محاسبات، و .تعامل هوشمندانه با یک کارت خوان هوشمند را فراهم می کند کارت هوشمند و کارت خوان از طریق استفاده از بسته هاي داده نرم افزار واحد پروتکل داده ها ارتباط (APDUs) کوچک به نام برقرار می کنند و با استفاده از یک پروتکل احراز هویت فعال متقابل .به شناسایی یکدیگر می پردازند

امنیت در کارت های هوشمند

اهمیت یک کارت هوشمند به طور مستقیم به حجم و نوع اطلاعات و .برنامه هاي کاربردي که براي استفاده در آن نوشته شده مربوط است رشد و حجم بالاي اطلاعات کاربردي در کارت هاي هوشمند این کارت

ها را به اهداف محبوبی براي حمله هکرهاي غیررسمی و رسمی (از جمله دولت ها) تبدیل کرده است.

با در نظر گرفتن مراحل چرخه عمر یک کارت هوشمند زمان بندي حمله ها در سه بازه زمانی تعریف می شوند:

زمان طراحی تراشه و توسعه سیستم عامل 1.

زمان تولید 2.

زمان استفاده 3.

تهدیدات امنیتی کارت های هوشمند

با بررسی مراحل و تهدیدات چرخه عمر یک کارت هوشمند، مشخص است که دست یابی به اطلاعات کارت بدون آگاهی از ساختار سخت افزاري و نرم افزاري تراشه و کارت امکان پذیر نمی باشد. از این رو شرایطی عمومی براي محافظت در برابر تجریه و تحلیل داده هاي کارت .هاي هوشمند در شرایط متفاوت طراحی شده است

ملاحظات امنیتی در هنگام طراحی تراشه و طراحی سیستم عامل. •

محافظت در برابر تحلیل هاي ایستا و پویا. •نکات امنیتی لازم الاجرا در نرم افزارها و الگوریتم ها.•

شرایط عمومی محافظت داده ها

ضرایب بالاي امنیتی براي کارت هاي هوشمند در نظر گرفته شده اما همچنان به نظرمی رسد این امنیت تا حدي غیر واقعی است چرا که

هیچ سیستم امنیتی غیر قابل نفوذي وجود ندارد و یا دست کم تا

.کنون طرحی نشده است

سنجش میزان امنیت یک سیستم به این معنی است که آیا سیستم به درستی از اطلاعات ذخیره شده محافظت می نماید و یا مهاجم چه نیاز دارد تا به یک حمله (زمان، پول، مهارت و تلاش) مقدار هزینه

در یک .موفق دست یابد و تا چه حدي می تواند منافع داشته باشد مهاجمان با خطر فزآینده در سه سطح IBM طبقه بندي توسط محققان

:دیده شده اند

مهاجمان کارت های هوشمند

Clever Outsiders (هوشمندان بیگانه) سطح یک 1.

Knowledgeable Insiders :(خبرگان خودي) سطح دوم 2.

Funded Organizations :(تشکیلات سازمانی) سطح سوم 3.

درك درستی از اینکه قبل از طراحی یک سیستم امنیتی باید

.سیستم در چه سطحی مورد حمله قرار خواهد گرفت، داشته باشیم فقط با در دسترس بودن این اطلاعات است که می توانیم براي طراحی

.و مهندسی یک سیستم مناسب تصمیم گیري نماییم

مهاجمان کارت های هوشمند

دسترسی به اطلاعات یک کارت هوشمند بدون آگاهی از ساختار سخت .افزاري و نرم افزاري تراشه امکان پذیر نمی باشد

توسعه "در کشورهاي توسعه نیافته و در حال توسعه و حتی گاها یافته، امکان تولید تراشه و طراحی یک سیستم عامل وجود ندارد، دو عاملی که نقش کلیدي و اصلی را در تامین امنیت داده ها بر عهده با توجه به اینکه فن آوري ساخت کارت هاي هوشمند و به .دارند طور مشخص تراشه آن در انحصار چند شرکت بزرگ دنیا است، این تا کجا و چگونه می توان از امنیت داده هاي :سوال را مطرح می شود کارت هاي هوشمند تولید شده توسط شرکت هاي بیگانه اطمینان حاصل نمود ؟

نتیجه گیری

تنها راه کار عملی در کشورهاي توسعه نیافته و درحال توسعه براي ارتقاي امنیت داده هاي کارت هوشمند طراحی سیستم عامل و برنامه نویسی نرم افزارهاي مورد استفاده در این کارت ها توسط مهندسین داخلی و استفاده از تراشه هاي شرکت هاي شناخته شده و قابل .اطمینان می باشد

نتیجه گیری

پــایــان