Обеспечение безопасности при использовании смарт-карт
Очевидно, что безопасность смарт-карт во многом зависит от надежности их хранения.
Злоумышленник, воспользовавшись чужой смарт-картой, сможет провести либо незаконные манипуляции с денежными средствами, хранящимися иа карте, либо, если смарт-карта используется в качестве ключевого носителя, получить доступ к секретным данным.Для обеспечения защиты от незаконных манипуляций со смарт-картами (при применении их в платежных системах) служат следующие механизмы:* двусторонняя аутентификация смарт-карта/кард-ридер с использованием криптографических протоколов типа «запрос-ответ».
Для реализации такого подхода необходимо, чтобы смарт-карта поддерживала криптографические механизмы;* аутентификация пользователя смарт-карты.
Реализуется за счет введения PIN-кода (кода персональной идентификации), хранящегося на карте пользователя.
Очевидно, что PIN-код должен храниться пользователем в тайне.
В некоторых типах смарт-карт используются биометрические методы идентификации пользователей.
Данный тип аутентификации необходим для авторизации проведения тех или иных операций со смарт-картой в платежных системах;В связи с вышеизложенным подчеркнем, что возможность использования злоумышленником смарт-карты зарегистрированного пользователя зависит от надежности хранения PIN-кода и стойкости протоколов аутентификации.
Правда, существует ряд методов, которые позволяют считать информацию, содержащуюся в смарт-карте, как получив к ней доступ, так и не имея непосредственного доступа к смарт-карте зарегистрированного пользователя.Подробные описания конкретных атак на смарт-карты не входят в задачу книги; остановимся лишь на общих принципах их проведения:* использование анализа сбоев в узлах смарт-карты, осуществляющих хранение и обработку криптографических данных.
В этом случае нарушитель овладевает зашифрованными данными, полученными при возникновении ошибки, и теми же данными, зашифрованными на том же ключе, но при отсутствии сбоев в работе.
Далее, используя математический аппарат с подзаголовоком «дифференциальный криптоанализ», вычисляет секретный ключ шифрования.