jump to navigation

Introduzione alle Smart Card February 16, 2006

Posted by laspinanelfianco in Sicurezza.
trackback

Le Smart Card sono quelle carte di credito dotate di un microchip interno, come la carta “Moneta” di Cariplo che era di moda qualche anno fa. Le Smart Card sono il dispositivo digitale a cui si sono ispirati gli ingegneri di IBM per creare il loro chip crittografico ESS, montato sui laptop Thinkpad di fascia alta, e poi gli ingegneri del Trusted Computing Group per creare il famigerato Fritz Chip (TPM).

Le Smart Card, il chip ESS di IBM ed i chip TPM del Trusted Computing Group forniscono tutti le seguenti funzionalità di base.

  1. Un codice identificativo univoco, non falsificabile. Nelle prime Smart Card era semplicemente un numero casuale di grandi dimensioni, molto simile al numero a 14 cifre usato per identificare le ricariche dei telefoni cellulari. Al giorno d’oggi è quasi sempre una chiave crittografica RSA a 1024 o 2048 bit.
  2. Un piccolo spazio di memoria non volatile dove memorizzare dati importanti al sicuro da sguardi indiscreti.
  3. Un motore crittografico implementato in hardware, di solito un motore per la cifratura RSA a chiave pubblica (molto robusta), ed eventualmente le funzionalità per creare ed apporre firme e certificati digitali su documenti digitali.

Una Smart Card può essere vista come un piccolo computer portatile che svolge solo la funzione di conservare, al riparo da sguardi indiscreti, i dati che vengono memorizzati su di essa. Non si tratta di un semplice dispositivo di memorizzazione statico e passivo, come le normali flash memory (le memoriette usate per le macchine fotografiche digitali e per le chiavi di memoria USB). Si tratta di un vero PC, di dimensioni microscopiche, che viene collegato ad un altro PC grazie ad un apposito lettore dotato di una porta di comunicazione seriale, concettualmente simile ad una connessione USB. Per ottenere le informazioni desiderate, è necessario instaurare una vera “conversazione digitale” con la Smart Card, esattamente come se si trattasse di un server di Internet.

Le funzionalità crittografiche della Smart Card, infatti, servono solo a presentare al PC che chiede l’accesso ai dati memorizzati nella Smart Card una piccola interfaccia di tipo challenge/response. In parole povere, il PC che chiede accesso ai dati deve dimostrare la propria identita e fornire una o più parole d’ordine di tipo particolare per ottenere una risposta dalla Smart Card. Il PC esterno non può semplicemente leggere i dati che gli interessano come farebbe con una banale flash memory.

Le Smart Card possono essere usate per i tre seguenti scopi.

  1. Certificare l’identità del loro detentore (autenticazione).
  2. Conservare informazioni sensibili (i dati anagrafici e medici di una persona).
  3. Gestire delle transazioni (conservare, spendere ed accumulare del “denaro digitale”).

Il primo uso è il più noto e diffuso. Le nuove carte d’identità digitali, i nuovi passaporti e diverse carte di credito usano la tecnologia delle Smart Card solo per questo. Non è necessaria una vera Smart Card per raggiungere questo scopo ed infatti molte carte di credito bancario sono in realtà delle semplici Card “stupide”, molto simili alla tessera soci di un supermercato. Tutta la sicurezza risiede in realtà nell’uso del PIN (Personal Identification Number) che l’utente è tenuto a memorizzare, non nell’uso della carta come tale. In questi casi, in pratica, l’utente svolge il mestiere della Smart Card.

Il secondo uso è quello tipico delle nuove carte d’identità digitali, delle patenti digitali e dei passaporti digitali. Sulla Smart Card vengono memorizzati i dati salienti dell’utente, insieme ad un condice identificativo. Anche in questo caso non è necessaria una Smart Card per ottenere questo scopo ed infatti alcune di queste carte non sono vere Smart Card ma semplici carte “stupide”, come la tessera soci della Coop. In questi casi, i dati sono conservati sulla striscetta magnetica sul retro della carta o, molto più spesso, in un database centralizzato. In questi casi, come nei precedenti, tutta la sicurezza è legata al solito PIN.

Solo il terzo uso richiede obbligatoriamente l’uso di una vera Smart Card. Questa applicazione è quella tipica dei “portafogli elettronici”. Alcune carte di credito ed alcune carte prepagate usano proprio questa tecnologia per i propri scopi. Sono ancora molto rare le applicazioni di questo tipo, sia per ragioni di costo che per ragioni di maturità del mercato.

In ogni caso, le Smart Card richiedono una fonte di alimentazione esterna. Di solito viene inviato loro un segnale radio ad un frequenza prestabilita. La Smart Card “cattura” questo segnale e ne usa l’energia per svolgere le sue funzioni.

La comunicazione con il PC “cliente” può avvenire sia attraverso alcuni contatti elettrici visibili (carte di tipo contact) o direttamente via radio (carte di tipo contactless). In tutti i casi, la comunicazione tra i due dispositivi è cifrata.

Per quanto riguarda il mondo dei PC, è stato proposto di usare una Smart Card, e non il Fritz Chip, per identificare l’utente. In questo modo sarebbe possibile rendere trasportabili da un PC al’altro i dati ed i documenti cifrati in modo molto più agevole e, soprattutto, sarebbe possibile svincolare l’identità della Smart Card (dell’utente) da quella del PC, con notevoli vantaggi per la privacy. Per diventare anonimi basterebbe sfilare la Smart Card dal lettore.

Comments»

1. Blog navigabile a history » Introduzione alle Smart Card - March 18, 2006

[…] Questo post è tratto da: Introduzione alle Smart Card, di Alessandro Bottoni Indice “Visitati e Mancanti”   >> Next “Mancante” […]


Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: