• Kontakt

Smart Cards lassen sich hervorragend zur Aufbewahrung von Geheimnissen, vor allem Geldwerten oder kryptografische Schlüssel verwenden. Eine PKI beispielsweise hängt vielfach von der Sicherheit der privaten Schlüssel der Anwender ab - Smart Cards stellen das geeignete Mittel dafür da. Company Cards können mit vielen Anwendungen auf einer Karte, als ein universelles Werkzeug zur Authentifzierung von Mitarbeitern dienen.

Kryptografische Schlüssel werden aber nicht nur vornehmlich für Authentisierungen verwendet, sondern auch zum Signieren von Informationen. Die sichere digitale Signatur ist ohne Smart Cards nicht vorstellbar.

Die Company Card des Staates ist die Bürgerkarte. Um die Bürger bei E-Government-Anwendungen zu identifizieren (ohne aufwendige vorherige Anmeldung und PIN/TAN Mechanismus) stützten sich die verschiedenen Behördern auf die Bürgerkartenfunktion, die in Österreich von der Trägerkarte unabhängig ist - einzig ein qualifiziertes (oder fortgeschrittenes) Zertifikat muss auf der Karte vorhanden sein.

Trennung von Funktionen vs. Multifunktionskarte

Die vielen Einsatzbereiche einer Smart Card können auch auf einer einzigen Karte zusammengefasst werden. So können in Österreich Maestrokarten mit einer digitalen Signatur und Bürgerkartenfunktionalität ausgestattet werden. Ebenso fungiert die österreichische Sozialversicherungskarte (e-Card) als Trägermedium für die Bürgerkartenfunktion.

Viele bevorzugen diese Kombinationen, da die Kartenanzahl reduziert wird. Doch verliert man diese Karte hat muss man alle Funktionen sperren lassen und im Anschluss wieder neu beantragen.

Andere finden unterschiedliche Karten für unterschiedliche Funktionsbereiche für sinnvoll, die "Bankkarte für Geldgeschäfte" die "Signatur/Bürgerkarte für Rechts und Behördengeschäfte", die "e-Card/Sozialversicherungskarte fürs Gesundheitswesen".

E-Government Anwendungen

Das österreichische Konzept "Bürgerkarte" soll eine eindeutige Authentifizierung für E-Government Anwendungen bringen, unter Einbeziehung der (sicheren) digitalen Signatur, ohne dass dabei die Aktivitäten des Einzelnen miteinander verknüpft werden können. Mehr über die österreichische Bürgerkarte...

Die Finnish Electronic Idendity Card (FINEID) existiert sein Ende der 90er Jahre und enthält ein Public-Key-Zertifikat, jede Person bekommt mit Ausstellung eine eindeutige 9stellige elektronische User ID, die im Zertifikat nach Vor- und Zuname gestellt wird.

Zahlungsverkehr

Debit- und Kreditkartenanwendung basieren seit den 70ern auf Magnetstreifen. Der Nachteil eines Magnetstreifen ist, dass er nur ein passiver Datenspeicher ist. Wenn die PIN-Prüfung nicht online mittels Hintergrundsystem erfolgt sondern lokal, muss auf diesen Magnetstreifen zurückgegriffen werden. Üblicherweise werden dazu im HSM des Geldausgabeautomaten bestimmte Daten vom Magnetstreifen symmetrisch verschlüsselt und aus dem Chiffretext dann mit einem bestimmten Verfahren die PIN extrahiert und mit der - am HSM - eingegebenen PIN verglichen wird.

Obwohl diese prinzipielle Vorgangsweise bekannt ist, halten sich die Betreiber zurück genaue Informationen und eingesetzte Verfahren und Algorithmen offen zu legen. Kein Wunder, sollte noch der Standard DES wie zu Anfangszeiten im Einsatz sein schwindet das Vertrauen schnell. Mit den Daten und der richtigen PIN von einigen Karten ist es dann durchaus vorstellbar, dass ein DES-Schlüssel in einer gewissen Zeit errechnet werden kann - für kriminelle Organisationen sehr interessant - ein PIN-Ausspähen wäre dann nicht mehr notwendig, die Karte genügt.

Aus diesem Grund wird seit einigen Jahren der Einsatz von Smart Cards forciert. In Österreich existiert die Paychip Anwendung, der Magnetstreifen ist aber immer noch im Einsatz und wird weiterhin der "Weakest Link" bleiben, da noch bei weitem nicht alle Geldausgabeautomaten auf Chip umgestellt wurden.

Auf internationaler Ebene wurde durch Europay International, Mastercard und Visa die EMV-Spezifikation ins Leben gerufen, und derzeit auch umgesetzt. Mit einem "Shift of Liability" wird auf Kartenausgeber und Betreiber von Geldausgabegeräten Druck ausgeübt, auf EMV zu migrieren. Auch in Österreich wird Paychip von EMV abgelöst.

Elektronische Geldbörsen

Auf europäischer Ebene existiert die CEN-Norm EN 1546, auf deren Basis viele bestehende Geldbörsensysteme implementiert wurden. Doch ist EN 1546 aufgrund ihres Spielraumes ein Rahmenwerk und kein Standard auf Bits und Bytes. Eine Purse-to-Purse Transaktion ist in EN 1546 nicht beschrieben.

Die kompatibilitätskritischen Merkmale werden in CEPS (Common Electronic Purse Specification) beschrieben. CEPS erweitert EN 1546 und ist schon auf eine weltweit interoperable Geldbörse ausgelegt. Elektronische Geldbörsen haben mittlerweile auch den Schritt in die Online-Welt geschafft z.B. @Quick in Österreich.

digitale Signatur

In PKCS #15 ist eine Chipkartenanwendung für die Erstellung von digitalen Signaturen definiert die mittlerweile in die ISO/IEC 7816 als Teil 15 übernommen wurde. Neben dem öffentlichen und privaten Schlüssel können auch andere Sicherheitsinformationen darin gehalten werden, z.B. Secret Keys. Zur Authentisierung sind neben PIN auch biometrische Templates möglich. Beachten Sie, dass dies nur die Anwendung auf der Chipkarten (dem Chipkarten-Betriebssystem) ist. Als Anwender kommen sie damit nicht in Berührung nur ihre Software.

Mobilkommunikation

Eine prädestinierte Anwendung von Smart Cards liegt im Bereich des Mobilfunks zur Teilnehmerauthentisierung. Bei GSM wird die so genannte SIM verwendet, bei UMTS wird diese USIM genannt. Auch bei der Satelliten-gestützten Mobilkommunikation (Iridium, Inmarsat) werden um kryptographische Funktionen erweiterte SIM-Karten verwendet. Auch beim digitalen Funkstandard TETRA sollen Chipkarten verwendet werden.

Die Authentisierung der IMSI (International Mobile Subscriber Identity) bei GSM erfolgt über ein Challenge Response Verfahren basierend auf symmetrischer Verschlüsselung. Die vom Netzbetreiber erhaltene Zufallszahl wird von der Chipkarte mit dem kartenindividuellen Schlüssel Ki verschlüsselt, der Netzbetreiber hält in seinem Authentication Center ebenfalls den Schlüssel und kann den Wert verifizieren. Aus der Zufallszahl und dem kartenindividuellen Schlüssel (Ki) wird ebenfalls der temporäre Schlüssel zur Verschlüsselung der Kommunikation auf der Luftschnittstelle errechnet. Da bei diesem Verfahren lediglich eine einseitige Identifikation des Teilnehmer gegenüber dem System stattfindet und umgekehrt nicht, kann sich ein IMSI-Catcher als Basisstation gegenüber einem Mobiltelefon ausgeben.

Als WIM bezeichnet man eine PKCS #15 Anwendung auf einer SIM-Karte

=