Как правило, карты с защищенной памятью содержат область, в которую записываются идентификационные данные. Эти данные не могут быть изменены впоследствии, что очень важно для обеспечения невозможности подлога карты. С этой целью идентификационные данные на карте “прожигаются”.
Необходимо также, чтобы на платежной карте были по меньшей мере две защищенные области. В технологии безналичных расчетов по картам участвуют обычно три юридически независимых лица: клиент, банк и магазин. Банк вносит деньги на карту (кредитует ее), магазин снимает деньги с карты (дебетует ее), и все эти операции должны совершаться с санкции клиента. Таким образом, доступ к данным на карте и операции над ними надо разграничивать. Это достигается разбиением памяти карты на две защищенные разными ключами области - дебетовую и кредитную.
Каждый участник операции имеет свой секретный ключ. У клиента это PIN-КОД. Его правильное предъявление открывает доступ к карте (по чтению данных), однако не должно менять информацию, которой распоряжается кредитор карты (банк) или ее дебитор (магазин).
Ключ записи информации в кредитную область карты имеется только у банка; ключ записи информации в дебетную область - у магазина. Только при предъявлении сразу двух ключей (PIN-кода клиента и ключа банка при кредитовании, PIN-кода клиента и ключа магазина при дебетовании) можно провести соответствующую финансовую операцию - внести деньги либо списать сумму покупки с карты.
Если в качестве платежной используются карты с одной защищенной областью памяти, - значит, банк и магазин будут работать с одной и той же областью, применяя одинаковые ключи защиты. Если банк, как эмитент карты, может ее дебетовать (например, в банкоматах), то магазин права кредитовать карту не имеет. Однако такая возможность ему дана - поскольку, в силу необходимости дебетования карты при покупках, он знает ключ стирания защищенной зоны.
То обстоятельство, что и кредитор карты, и ее дебитор (обычно разные лица) пользуются одним ключом, нарушает сразу несколько основных принципов защиты информации (в частности, принципы разделения полномочий и минимальных полномочий). Это рано или поздно приведет к мошенничеству. Не спасают ситуацию и криптографические способы защиты информации.
Из известных карт с защищенной памятью лишь упоминавшаяся уже карта GPM896 обладает двумя защищенными областями памяти и удовлетворяет требованиям по разграничению доступа к информации, как со стороны банка, так и со стороны магазина.
Микропроцессорные карты. Эти карты представляют собой последние достижения в области смарт-карт. Их применение весьма обширно.
Микропроцессоры, установленные на этих картах, обладают следующими основными характеристиками:
- тактовой частотой до 5 Мгц;
- емкостью ОЗУ до 256 байт;
- емкостью ПЗУ до 10 Кбайт;
- емкостью перезаписываемой энергонезависимой памяти до 8 Кбайт.
В карту встраивается специализированная операционная система, обеспечивающая большой набор сервисных операций и средств безопасности.
Операционная система карты поддерживает файловую систему, предусматривающую разграничение доступа к информации. Для информации, хранимой в любой записи (файл, группа файлов, каталог), могут быть установлены следующие режимы доступа:
- всегда доступна по чтению/записи. Этот режим разрешает чтение/запись информации без знания специальных секретных кодов;
- доступна по чтению, но требует специальных полномочий для записи. Этот режим разрешает свободное чтение информации, но разрешает запись только после предъявления специального секретного кода;
- специальные полномочия по чтению/записи. Этот режим разрешает доступ по чтению или записи после предъявления специального секретного кода, причем коды для чтения и записи могут быть различными;
- недоступна. Этот режим не разрешает читать или записывать информацию. Информация доступна только внутренним программам карточки. Обычно этот режим устанавливается для записей, содержащих криптографические ключи.
Как правило, в такие карточки встроены криптографические средства, обеспечивающие шифрование информации и выработку “цифровой” подписи. Традиционно в карточках для этих целей применяется криптографический алгоритм DES. Кроме того, в карточке имеются средства ведения ключевой системы.
Карты обеспечивают различный спектр сервисных команд. Для банковских целей наиболее интересные из них - средства ведения электронных платежей.
К специальным средствам относятся возможность блокировки работы с карточкой. Различаются два вида блокировки: при предъявлении неправильного транспортного кода и при несанкционированном доступе.
Суть транспортной блокировки состоит в том, что доступ к карточке невозможен без предъявления специального транспортного кода. Этот механизм необходим для защиты от нелегального использования карточек при хищении во время пересылки карточки от производителя к потребителю. Карточка может быть активизирована только при предъявлении правильного “транспортного” кода.
Суть блокировки при несанкционированном доступе состоит в том, что если при доступе к информации несколько раз неправильно был предъявлен код доступа, то карта вообще перестает быть работоспособной. При этом, в зависимости от установленного режима карта может быть впоследствии либо активизирована при предъявлении специального кода, либо нет. В последнем случае карточка становится непригодной для дальнейшего использования.
Преимущества использования смарт-карт Главное отличие смарт-карт от других видов пластиковых карт - интеллектуальность карт с микросхемами.
При платежах по магнитным картам применяется режим on-line. Разрешение на платеж дает, по существу, компьютер банка или процессингового центра при связи с точкой платежа.
Поэтому основная проблема, возникающая здесь, - обеспечение надежной, защищенной и недорогой связи.
При платежах по смарт-картам применяется принципиально новый режим off-line - разрешение на платеж дает сама карта (точнее, встроенная в нее микросхема) при общении с торговым терминалом непосредственно в торговой точке. Накладные расходы по обеспечению платежей чрезвычайно малы, проблемы связи не играют той роли, как в технологиях on-line.
Другая важная особенность смарт-карт заключается в их надежности и безопасности. Смарт-карта должна быть достаточно “интеллектуальна”, чтобы самостоятельно принять решение о проведении платежа и при этом обладать развитой системой защиты от ее несанкционированного использования.
Во время производства и инициализации карт электронные предохранители в микросхеме могут быть разрушены, тем самым предотвращая нежелательное вмешательство в хранимую информацию.
Копирование данных, кроме как их производителями, невозможно благодаря уникальному внутреннему коду, записанному на каждой карте. Даже если данные, записанные на карту, кто-либо сможет продублировать, уникальный внутренний код предотвратит использование карты. При отправке карт производителем в адрес организации, выпускающей карты в обращение, коды посылаются отдельно, так что даже в случае потери всей партии карты останутся непригодными для использования. Пока этот код не будет представлен карте, последнюю использовать невозможно. Как только карта проинициализирована и в ней записаны данные (или сумма денег), доступ к ним защищается кодированным паролем (или PIN-КОДОМ), известным только хозяину карты. Данные, записанные на карте, могут быть также зашифрованы. Все это делает смарт-карту одной из наиболее надежных форм хранения данных.
Смарт-карты по сравнению с другими пластиковыми картами обладают высокими эксплуатационными характеристиками. Например, смарт-карты фирмы GemPlus Card International - лидера в области производства карт - обладают следующими основными характеристиками: время хранения информации - 10 лет; минимальное число перезаписей - 10 000 раз; время записи одного байта информации - не более 10 мс; температура хранения - от -20 до +55 С; рабочая температура -от 0 до +50 °С.
Смарт-карты устойчивы к внешним воздействиям.
Платежные системы на основе смарт-карт обладают рядом преимуществ перед системами, использующими карты с магнитной полосой или со штриховым кодом.
Преимущества могут быть как общие, касающиеся всех пользователей системы, так и частные - для отдельных групп пользователей.
Общие преимущества сводятся к следующему:
-Все существующие операции с наличностью могут быть с легкостью заменены на операции со смарт-картами.
-Централизованный контроль за системой и финансовыми транзакциями для всех элементов системы.
-Незначительная стоимость оборудования торгового терминала, отсутствие необходимости затрат на дополнительные средства коммуникации и независимость обслуживания системы от средств коммуникации.
-Отсутствие дополнительных затрат на эксплуатацию системы.
-Надежность использования. После занесения на смарт-карту всех данных владельца связь с базой данных происходит немедленно по предъявлении карты, что очень важно для городов, в которых отсутствуют современные телекоммуникационные средства.
-Портативность и автономность торгового терминала, обеспечивающие его широкое применение, вплоть до мобильных пунктов обслуживания и торговых киосков.
-Возможность принимать оплату с карт в различного типа автоматических устройствах: автоматы по продаже сигарет, прохладительных напитков, телефонные автоматы, автомобильные стоянки и мойки, автосервис и т. д.
-Уменьшение административных расходов на каждом уровне и расходов на поддержание работы системы, осуществление транзакций, сокращение расходов на время обслуживания, линии связи.
-Улучшение и упрощение процедур взаиморасчетов.
-Существенное увеличение скорости всех операций.
-Существенное уменьшение расходов всех пользователей системы: владельцев карт, торгующих организаций, головной фирмы эмитента смарт-карт.
-Система защищена на всех уровнях и исключает целый ряд рисков, присущих другим системам платежей (наличным, талонам, магнитным картам).
-За счет более быстрой оборачиваемости денежных средств уменьшается инфляция, и сокращаются расходы на поддержание обращения наличности.
-Снижается уровень криминальности.
-Появляется возможность использования платежных карт в других сферах (государственное страхование, медицинское обслуживание) как чисто идентификационных.
В то время как вводятся другие, более защищенные методы шифрования, магнитная карта намного дешевле чем другие альтернативы и карты с магнитной полосой – самый распространенный тип карт. Методы защиты магнитных карт медленно, но верно улучшаются, и при правильном применении могут предоставить отличную защиту для финансовых транзакций при низкой стоимости.
Страницы: 1, 2, 3, 4, 5, 6
