Funzioni Ogni Smart Card con CPU è dotata di un sistema operativo, che serve alle applicazioni per accedere alle funzioni di base dell’hardware e alla gestione dei dati. A differenza di un normale computer, una Smart Card non include interfacce utente …
Funzioni
Ogni Smart Card con CPU è dotata di un sistema operativo, che serve alle
applicazioni per accedere alle funzioni di base dell’hardware e alla gestione
dei dati.
A differenza di un normale computer, una Smart Card non include interfacce
utente e accesso a memorie esterne, visti i compiti a cui è destinata
e i requisiti di sicurezza.
Di base, le funzioni del sistema operativo sono: trasferimento
di dati da e verso la scheda, controllo dell’esecuzione dei comandi, gestione
dei file (tutti in EEPROM) e gestione ed esecuzione degli algoritmi crittografici.
La crittografia è l’area chiave che permette alle moderne Smart
Card di garantire una serie di obiettivi di sicurezza: l’autenticazione
dell’utente, la riservatezza dei dati conservati e trasmessi, l’integrità
delle comunicazioni e quello che viene chiamato non ripudio, ovvero l’impossibilità
che il mittente e il destinatario di un messaggio possano negare di avere rispettivamente
inviato e ricevuto il messaggio, come se fosse una raccomandata con ricevuta
di ritorno.
Alcune funzioni base di una Smart Card con supporto crittografico sono la
generazione di chiavi, la lettura della chiave pubblica, la cifratura di dati
con la chiave privata (usata ad es. nella firma digitale) e operazioni sui certificati
digitali.
Crittografia
Per apprezzare l’utilità di una Smart Card (almeno quelle destinate
ad autenticazione e firma digitale), riassumiamo i concetti base della crittografia.
Per nascondere messaggi e documenti a occhi estranei, si usa la cifratura,
che viene detta simmetrica quando usa la stessa chiave segreta
per cifrare e decifrare e asimmetrica quando usa una coppia
di chiavi (cifratura con chiave pubblica e decifratura con chiave privata o
viceversa).
Gli algoritmi simmetrici servono per cifrare dati e messaggi anche voluminosi;
quelli asimmetrici servono per cifrare dati molto brevi: solitamente chiavi
simmetriche e hash (un hash è un dato di lunghezza fissa,
per es. di 160 bit, calcolato in base all’intero contenuto di un messaggio).
I mattoni principali delle applicazioni di crittografia sono gli algoritmi
simmetrici, asimmetrici, di hashing e di generazione di numeri casuali (usati
per generare chiavi simmetriche temporanee, valide per una sessione di comunicazione).
Un chip per Smart Card evoluta contiene quindi algoritmi come 3DES
e AES (cifratura simmetrica) e RSA (cifratura
asimmetrica) ed è in grado di generare coppie di chiavi (pubblica e privata).
La firma digitale, essenzialmente, è ottenuta cifrando con la chiave
privata l’hash di un messaggio. Il destinatario usa la chiave pubblica
per decifrare la firma e verificare l’autenticità e integrità
del messaggio.
Per verificare l’autenticità di una chiave pubblica, il destinatario
usa il relativo certificato digitale, contenente il nome del proprietario, la
sua chiave pubblica e la firma digitale di un’autorità che attesta
che quella chiave appartiene al proprietario indicato. In pratica, il motivo
per imbottire le Smart Card di capacità crittografiche, sta nel garantire
la sicurezza delle transazioni.
L’autenticità dipende da qualcosa di unico che l’utente
conosce (come il PIN della scheda) o possiede (la scheda).
Alcune schede permettono anche la verifica di caratteristiche biometriche (impronte
digitali, voce e iride). Perciò, un utente che possiede una scheda (di
cui conosce il PIN) contenente una coppia di chiavi a lui associate (quella
pubblica disponibile e quella privata impossibile da estrarre), può eseguire
transazioni dimostrando la propria identità e impegnandosi legalmente
ad assumersene la responsabilità.
Schede anonime
Non tutte le Smart Card sono personali, cioè associate all’identità
del proprietario per dare validità legale alle transazioni.
Esistono anche schede usate come borsellino elettronico, vendute con una dotazione
di denaro da spendere e ricaricate in modo anonimo tramite terminali pubblici.
Il fatto che le schede non siano associate all’identità del proprietario
è stato un fattore che ha contribuito al successo ad esempio di Octopus,
diffusa in oltre 9 milioni di esemplari. Il massimo addebito da Octopus è
di 12,5 dollari.
Standard
La quasi totalità delle Smart Card è realizzata in conformità
a una serie di standard.
I principali sono: la famiglia ISO 7816, ISO 14443 per le schede contactless
a 13,56 MHz con portata di 5 pollici (12,5 cm), ISO 15693 per schede contactless
con portata di 50 pollici, EMV 2000 per l’interoperabilità tra
istituti finanziari, PC/SC (Personal Computer/Smart Card) per l’uso delle
Smart card con i PC e GSM 11.11 e 11.14 per la telefonia cellulare. I principali
formati sono l’ID-1 di 54 x 85,6 mm (tipo carta di credito), l’ID-00
di 33 x 66 mm e l’ID-000 di 15 x 25 mm usato per le schede SIM dei cellulari.
