Pametne Kartice u Internet Bankarstvu

  • View
    18

  • Download
    1

Embed Size (px)

DESCRIPTION

Pametne Kartice u Internet Bankarstvu

Transcript

Cenovne strategije Seminarski rad

FAKULTET ZA MENADMENT HERCEG NOVI

Goran Radman

PAMETNE KARTICE U INTERNET BANKARSTVUZAVRNI RAD

Herceg Novi, 2012. god.FAKULTET ZA MENADMENT HERCEG NOVI

PAMETNE KARTICE U INTERNET BANKARSTVU

ZAVRNI RAD

Predmet: Elektronsko poslovanjeMentor: Doc. dr Sonja PraviloviGoran Radman

PIEB

1212990250023Herceg Novi, septembar, 2012. god. S A D R A J

1UVOD

1OSNOVE PAMETNIH KARTICA 31.1. Tipovi kartica 41.2. Elektrina i fizika svojstva pametne kartice61.3. Komunikacioni model 91.4. Operativni sistem kartice 121.5. ivotni ciklus kartice 141.6. Sistem kartice 151.7. Standardi i specifikacije 162SIGURNOST PAMETNE KARTICE212.1. Klasifikacija napada i napadaa 223JAVA CARD TEHNOLOGIJA 243.1. Pregled arhitekture 243.2. Java card jeziki podskup 253.3. Java card virtuelna maina 263.4. Java card instaler i instalacija programa izvan kartice 283.5. Java card izvrna okolina 293.6. Java card API 323.7. JavaTM Secure Socket Extension 334 SIGURNA AUTENTIFIKACIJA 344.1. Osnove raunarske sigurnosti 345ELEKTRONSKI I DIGITALNI POTPIS 38ZAKLJUAK 41LITERATURA 44

SAETAK

U ovom radu opisane su karakteristike pametne kartice kroz osnovna znanja, sigurnost i klasifikacije napada i napadaa, posljedica i mehanizama odbrane kroz sve faze: razvoja, proizvodnje i korienja kartice. U treem poglavlju opisani su standardi koji unificirano opisuju njihove osobine i neto ega se svi moraju pridravati. Razvoj aplikacija se javio usljed zahtjeva na sve iroj upotrebi kartica, a JAVA CARD tehnologija omoguila je da se programi pisani u Java programskom jeziku izvode na pametnim karticama i drugim ureajima ogranienih sredstava. Ova tehnologija opisana je u etvrtom poglavlju. I konano podaci koji se razmjenjuju mogu lako biti vidljivi svima prisutnim u istom mrenom okruenju. Samim tim namee se vie pitanja vezanih za raunarsku sigurnost. Najvanija pitanja su sigurna autentifikacija i tajnost informacija koje se razmjenjuju. U petom poglavlju opisana je osnova raunarske sigurnosti kroz saetak poruke, elektronski i digitalni potpis, sertifikat, infrastrukturu javnog kljua i autentifikaciju preko X.509 protokola.ABSTRACT

In this work through five chapters the basic characteristics of smart card were described in basic knowledge, security and classification of aggression and aggressor, consequences and mechanism of defence through all phases: development, production and usage a card. In the third chapter are described the standards which describe on an unified way their individualities and something that everybody has to abide by. Development of applications appeared because of request for using the cards more and more, but JAVA CARD technology enabled the programmes written in JAVA programme language to do on smart card and other devices in limited means. This technology was described in the fourth chapter. Finally the data which are exchanged can be visible to everybody in the same enviroment. In this way there are more questions connected with computing security. The most important questions are authentification and secrecy of informations which are enchanged. In the fifth chapter is described the base of computing security through resume of the message, electronic and digital signature,certificate,infrastructon of public key and authentification over X.509 protocols.UVOD

Tehnologija ulazi u sva podruja ljudske djelatnosti, stvara novi soj ljudi i poslova, ona je uzrok evolucije drutva. Jedan izum objedinjuje i simbolizuje navedene promjene, raunar. Prvi raunari izvodili su nekoliko raunskih operacija, a dananji raunari izvode 3D animacije, izvravaju i bilione operacija brzinom svjetlosti. Razvoj poluprovodnike industrije omoguio je da se veliina raunara sa dimenzija jedne sobe spusti na povrinu od nekoliko kvadratnih milimetara. Time je stvoren prostor za razvoj novih tehnologija, jedna od njih je i pametna kartica.

Najvee finansijske organizacije, Europay, Mastercard i Visa udruuju svoje napore u cilju primjene pametne kartice u finansijskoj industriji. Mobilna telefonija kroz GSM specifikaciju otvara novo veliko podruje primjene pametne kartice. Finansijska industrija predstavlja najvei sistem kartica, ali ona ne odreuje esencijalna svojstva pametne kartice, ona ih samo koristi. Pametna kartica posjeduje neograniene mogunosti, njene najvee prednosti su veliina, prenosivost, viekratna upotrebljivost, raznolikost funkcionalnosti i sigurnost. Sigurnost predstavlja najvanije svojstvo pametne kartice. Dananje drutvo evoluira u informaciono drutvo. Tehnologija postaje alat u slubi informacije, a informacija znanje, mo i novac. Sigurno uvanje informacija i zatita protoka informacija postaju nunost i neophodnost. Kao idealno rjeenje javlja se pametna kartica. Pametna kartica ini visok nivo sigurnosti informacije dostupnu svakom, na siguran nain uva informacije i omoguuje da se procesiranje podataka izvodi u sigurnom okruenju. Pametna kartica prua podacima i programima sigurno okruenje. Kad koliina napora da se proitaju podaci sa pametne kartice ne bi bila tako velika, kartica bi bila nita vie nego disketa sa drugaijom ulogom.

Praktino je nemogue sagraditi potpuno siguran sistem, pa ak i potpuno sigurnu pametnu karticu. Ako napor utroen na napad dostigne dovoljno visok nivo, mogue je prodrijeti u bilo koji sistem i na njemu izvriti neovlaene promjene. Svaki potencijalni napada svjesno ili nesvjesno procjenjuje dobit koju mu donosi uspjean napad. Vrijeme, novac i napor uloeni na provalu u sistem moraju biti vrijedni dobijene nagrade. Ako nagrada nije dostojna uloenog napora do napada nikad nee doi. Sigurnost pametne kartice obuhvata etiri komponente. Prva komponenta je tijelo kartice. Tijelo kartice implementira mnotvo sigurnosnih obiljeja i vizuelno itljivih i time podvrgnutih kontroli ovjeka. Npr. to su hologrami, reljefna obiljeja, ultraljubiasti tekst, laserska graviranja, itd. Tehnike implementacije sigurnosnih obiljeja zajednike su za sve tipove kartica, nisu specifinost pametnih kartica. Preostale komponente - hardver ipa, operativni sistem i aplikacija - tite podatke i programe mikrokontrolera kartice. Kao i na drugim tehnikim podruijima i kod pametnih kartica postoje standardi koji opisuju njihove karakteristike. Nedostatak standarda prvih godina razvoja se ogleda u nekompatibilnosti kartica pojedinih proizvoaa mada se situacija posljednjih godina poboljava.

Postoji itav niz standarda koji se odnose na pametne kartice. Oni koji se odnose na njihove fizike karakteristike su generalno usaglaeniji od onih za softversku arhitekturu. ISO 7816 pod punim imenom Integrated Circuit Cards with Electrical contacts je meunarodni standard za mikroprocesorske kartice sa kontaktima. To je ujedno najire prihvaen standard vezan uz pametne kartice. Usljed zahtjeva na sve iroj primjeni pametnih kartica javila se potreba za brim razvojem aplikacija kartica. Bri razvoj aplikacija kartica ne smije ugroziti temeljni razlog korienja pametnih kartica, sigurno procesiranje. To je za razvojne programere pametnih kartica najvanije pitanje, pitanje sigurnosti.

Java Card tehnologija omoguuje da se programi pisani u Java programskom jeziku izvode na pametnim karticama i drugim ureajima ogranienih sredstava. Njihovo svojstvo je i mogunost uitavanja aplikacija na kartici u korisnikoj fazi ivotnog ciklusa pametne kartice. Time pametna kartica postaje aktivni dio mrene arhitekture. Sigurnost se mora uzeti u obzir sa take gledita ukupnog, opteg sistema. Java Card platforma je izgraena na vrhu kartine platforme, koju sainjava kartini hardver, izvorni operativni sistem, terminal s kojim kartica komunicira i sistem u pozadini.

Komunikacija, pristup informacijama i obavljanje razliitih vrsta transakcija u mrenom okruenju postala je svakodnevica. Podaci koji se razmjenjuju mogu lako biti vidljivi svim prisutnim u istom mrenom okruenju. Samim tim namee se vie pitanja vezanih za raunarsku sigurnost. Najvanija pitanja su sigurna autentifikacija i tajnost informacija koje se razmjenjuju. Najei oblik autentifikacije je autentifikacija gdje se korisnik predstavlja korisnikim imenom i lozinkom. Takva autentifikacija meutim ne garantuje veliku sigurnost. Opis aspektata sigurnosti, operativnih sistema, standarda i nekih od naina bezbjedne autentifikacije proeti su kroz ovaj diplomski rad, govore i kako o sigurnosti tako i slabostima i potencijalnim prijetnjama koje su neizostavne u jednom ozbiljnom sistemu "...koji vrijedi da se napadne...".

Zaetnikom pametne kartice smatra se francuski novinar Roland Moreno koji je 1974. registrovao idejni patenat pametne kartice. Zbog toga i ne udi to je prva primjena pametne kartice ostvarena u Francuskoj. Telefonska industrija, odnosno francuski PTT, 1984. izdaje prvu telefonsku karticu. Danas se ona koristi u javnoj telefoniji u vie od 50% zemalja irom svijeta. Najvee finansijske organizacije, Europay, Mastercard i Visa udruuju svoje napore u cilju primjene pametne kartice u finansijskoj industriji. Rezultat je EMV specifikacija izdata 1994. Mobilna telefonija izdaje 1998. GSM specifikaciju koja otvara novo veliko podruje primjene pametne kartice. Finansijske industrije ukljuuju najvee sisteme kartica, ali one ne odreuju esencijalna svojstva pametne kartice, one ih samo koriste. Pametna kartica posjeduje neograniene mogunosti, njene najvee prednosti su veliina, prenosivost, viekratna upotrebljivost, raznolikost funkcionalnosti i sigurnost.

Budui graanin postae najvei korisnik sistema kartica. Pametna kartica ga identifikuje, uva njegovo finansijsko i zdrastveno stanje. Potencijalna opasnost prikupljanja informacija na jedan medijum u cilju jednostavnijeg posmatranja pojedinca i upravljanja graanima, korisnicima sistema kartica djeluje zastraujue. Ali dob