Utilização de cartões inteligentes em aplicações móveis

432 visualizações

Publicada em

Tecnologias de cartões
O cartão SIM na rede GSM
Piloto de comércio móvel

Publicada em: Tecnologia
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
432
No SlideShare
0
A partir de incorporações
0
Número de incorporações
1
Ações
Compartilhamentos
0
Downloads
4
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide
  • Distinguir entre cartões de memória e cartões inteligentes ACTIVO: Quantos cartões têm?
  • ACTIVO: Como atacar?
  • ACTIVO: Experiência de utilização de aplicações móveis
  • Os passos seguintes exemplificam a experiência do cliente ao utilizar um serviço de banca móvel no sistema Smart Signature : 1.      O cliente escolhe um serviço de banca móvel. 2.      O banco envia uma ordem de pagamento para o telemóvel do cliente. A mensagem está assinada e apenas o cliente a pode ler. 3.      O cliente verifica a assinatura da mensagem do banco. 4.      O cliente dá a ordem de pagamento. Para a confirmar, tem que inserir o PIN de assinatura ( signing PIN ) para aceder à sua chave privada armazenada no cartão do telemóvel. A mensagem é cifrada com a chave pública do banco para que só ele a possa ler.
  • Utilização de cartões inteligentes em aplicações móveis

    1. 1. Algoritmos e Aplicações de Segurança Utilização de cartõesinteligentes em aplicações móveis Miguel Pardal (M5329 – mflpar@mega.ist.utl.pt) 16 de Dezembro de 2003
    2. 2. Sumário I. Tecnologias de cartões II. O cartão SIM na rede GSM III. Piloto de comércio móvel IV. Conclusões2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 2
    3. 3. I. Tecnologias de Cartões• Cartão: – A maior parte das pessoas conhece e sabe utilizar – Contém identidade, acesso a serviços, outra informação… 2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 3
    4. 4. Cartões magnéticos• Banda magnética contém (pouca) informação• Muito baratos• Tipo de cartão mais usado, especialmente na Banca• Guardam PIN cifrado• Validação on-line por dispositivo ligado a rede• Não há controlo de leitura e escrita na banda2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 4
    5. 5. Cartões inteligentes• Smart Cards• Permitem controlo de leitura e escrita• Relação custo-benefício começa a torná-los mais atractivos: – American Express Blue – Smart VISA Card – Lisboa Viva2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 5
    6. 6. Arquitectura de cartões inteligentes• Único chip• Microprocessador – 8/16 bit – 1-5 MHz – Intel, Motorola, Hitachi• Capacidade equivalente a um PC 1980s2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 6
    7. 7. Memórias de um cartão2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 7
    8. 8. Sistema operativo• Card mask – gravado na ROM• Sistema de ficheiros hierárquico – Ficheiros – Directórios• Entradas/Saídas – Contactos – Sem contactos2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 8
    9. 9. Segurança de cartões inteligentes• Mecanismos físicos • Mecanismos lógicos – Escuta analógica – PIN – Geração de faltas – ACL Ficheiros – Apagamento parcial de – Cifras memória • Simétricas – Extracção do chip • Assimétricas (pouco usadas por limitações – Microscopia computacionais) electrónica e micro sonda2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 9
    10. 10. Ataque invasivo ao cartão• Banho ácido• Plataforma de teste e análise• Inspecção do circuito físico2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 10
    11. 11. Cartões - síntese• Computadores “completos”• São seguros e resistentes à manipulação… – mas não são invulneráveis: • Ataques físicos • Vulnerabilidades dos algoritmos criptográficos • Engenharia social2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 11
    12. 12. II. O cartão SIM na rede GSM• Durante alguns anos, os cartões inteligentes foram solução à procura de problema• Principal utilização actual• Rede móvel GSM – Roaming • Problema de confiança nas redes intermediárias • Para onde transferir a confiança?2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 12
    13. 13. Rede móvel GSM• Transmissão rádio (900MHz)• Células de estações base – Reutilização de frequências• Voz• SMS – Mensagens curtas – Transmissão assíncrona com garantias• GPRS – transmissão de datagramas2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 13
    14. 14. Autenticação GSM• Cartão tem chave Ki partilhada com a rede• Desafio-resposta• A3 – Autenticação, A8 – Chave Sessão, A5 – Cifra contínua2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 14
    15. 15. Cartão SIM• Subscriber Identity Module• Identifica o utilizador perante a rede de origem e outras redes – De forma segura e consistente• Resistente a manipulação• Pode negociar chaves de sessão• Liberta o telefone de aspectos de subscrição de serviço e de segurança – Facilita a troca de telefone2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 15
    16. 16. Plataforma para aplicações confiadas• SIM + SMS – SIM – maior infra-estrutura de chaves não governamental – SMS – único meio de comunicação de dados universal na rede GSM• Possibilita confiança nas transacções: – Autenticação e não repúdio – Integridade – Confidencialidade2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 16
    17. 17. Modelos de aplicações• Máquina virtual • Micro-navegação – Byte-codes são – Byte-codes são instruções páginas – Linguagens – Linguagens procedimentais declarativas – Principais: • JavaCard – Interpretadas por • Microsoft Micro-browserComparação: funcionalidade, administração2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 17
    18. 18. III. Piloto de comércio móvel• Smart Signatures for Secure Mobile Commerce – Ergonomia – Segurança• Utilização de criptografia assimétrica – Chaves RSA – Certificação de chaves públicas2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 18
    19. 19. Principais funcionalidades• Mensagens cifradas extremo-a-extremo• Mensagens assinadas digitalmente• Certificados digitais X.509 – Autoridades de certificação externas à rede móvel – Formato compacto - Mcert• Separação entre: – Chave para assinatura – Chave para confidencialidade2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 19
    20. 20. Participantes no sistema• Cliente – utilizador final• Fornecedor de serviço – presta o serviço• Operador móvel – Infra-estrutura de comunicações móveis – Contrato e relação de cobrança com o cliente• Autoridade de certificação• Fabricante de cartões – SIM com coprocessador aritmético2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 20
    21. 21. Exemplo de utilização * <service> messages fill-in formsservice options 2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 21
    22. 22. Certificação e confiança• Domínios de certificação: – Card domain (CD) • Dentro da rede móvel • Para garantir a fiabilidade nos pedidos de certificados durante a utilização – Root Domain (RD) • Fora da rede móvel • Acima dos vários CD 2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 22
    23. 23. Gestão da vida das chaves• Chaves distintas para cifra e para assinatura• No piloto não foi implementada a revogação – Consulta de listas de certificados revogados• Certificado válido até ao fim do prazo estipulado na sua criação• Opção considerada aceitável porque: – Valor binário enclausurado no cartão – Utilização exige PIN de assinatura – Mas, e se a chave for comprometida?2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 23
    24. 24. Avaliação do piloto de comércio móvel• Uso de criptografia assimétrica implica: – Autoridade de certificação para as chaves públicas • Custos administrativos – Substituição de cartões • Não é compensada por um único serviço• Os utilizadores finais não percepcionam automaticamente o valor acrescentado da assinatura digital• A ergonomia do serviço é o factor decisivo para o sucesso, mas sem comprometer a segurança2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 24
    25. 25. IV. Conclusões• Cartão inteligente – Armazenamento seguro – Capacidade de processamento – Seguro mas não invulnerável – Principal aplicação: SIM – Base de uma plataforma de aplicações confiadas nas redes móveis2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 25
    26. 26. Conclusões (2)• Operador móvel – Habituado a controlar e cobrar o acesso a todos os recursos e serviços da sua rede – O WAP permitiu-lhe perceber que a única coisa que realmente controla é o SIM• Motivação para serviços de valor acrescentado: – Declínio de preço da voz – Aumento de custos de evolução e manutenção da rede – Maior margem de lucro • cobra-se o serviço e não o transporte de dados2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 26
    27. 27. Conclusões (3)• Requisitos a conciliar: 1) Serviços populares e acessíveis pela maioria dos clientes 2) Alto desempenho e segurança na utilização 3) Modelo de negócio com nível de preços que motive parceiros de serviços e de conteúdos, bem como os clientes• Benefícios esperados: – Valores imediatos • Cobrança de mensagens aplicacionais – Valores a longo prazo • Lealdade dos clientes, parcerias de negócios2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 27
    28. 28. Perguntas e respostas “Just like television was not radio with image, mobile will not be the Internet on a phone” Scott Guthery Obrigado pela atenção. Mais informação brevemente em: http://mega.ist.utl.pt/~mflpar2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 28

    ×