facebook LinkedIN LinkedIN - follow
Exkluzivní partner sekce
Tematické sekce
 
Branžové sekce
Přehledy
 
Tematické seriály
 

GDPR

General Data Protection Regulation zásadně mění zpracování osobních údajů a zavádí nové povinnosti...

články >>

 

Jak uřídit IT projekt a nezbláznit se

Užitečné tipy a nástroje pro řešení problémů řízení inovací a vývoje produktů...

články >>

 

Industry 4.0

Průmysl 4.0

Jaký vliv bude mít čtvrtá průmyslová revoluce na výrobu a výrobní firmy?

články >>

 

Komplexní svět eIDAS

O nařízení eIDAS již bylo mnoho řečeno i napsáno. A proto jediné, o čem...

články >>

 

Trendy v CRM

Systémy pro řízení vztahů se zákazníky (CRM) prochází v posledních letech výraznou změnou. Zatímco dříve...

články >>

 

Příručka úspěšného IT manažera

Dnes je řada IT manažerů opomíjena. Úspěšní bývají brouci Pytlíci a Ferdové...

články >>

 
Partneři webu
Dialog 3000Skylla
IT SYSTEMS 10/2014 , IT Security

Chytré telefony jako náhrada čipových karet



FEKT VUTTechnologie NFC (Near Field Communication) umožňuje využít chytré telefony téměř u identických uživatelských scénářů, kde se používají čipové karty. Náhrada čipových karet chytrými telefony nicméně nemusí být vždy výhodná, a to z několika důvodů. V následujícím textu si představíme bezpečnost a kryptografické prostředky platformy Android. Nastíníme také technologii NFC, možnosti emulace čipových karet na platformě Android a nová autentizační schémata poskytující ochranu soukromí.


Platforma Android a její kryptografické prostředky

V dnešní době dochází k masivnímu rozšíření tzv. chytrých telefonů a zařízení, které se vyznačují vlastním operačním systémem. Velkému úspěchu se těší operační systém Android. Tato platforma slučuje několik prostředků, jako je operační systém (OS), vývojové prostředí, jednotlivé aplikace, ovladače atd. Platforma je open-source, multiplatformní a je zaměřena na širokou škálu zařízení s dotykovým displejem. Operační systém Android využívá linuxové jádro a vývoj Android aplikací je realizován většinou v jazyce JAVA. Hlavními prvky Android aplikací jsou tzv. aktivity, ve kterých se propojuje graficko-uživatelské rozhraní spolu s funkční logikou aplikace. Pro zajištění bezpečnosti komunikace a dat mají vývojáři na platformě Android k dispozici širokou paletu kryptografických metod a schémat. Jedná se o následující kryptografické prostředky a rozhraní API:

  • API v Androidu poskytující kryptografická primitiva: android.security (přístup k soukromým klíčům, bezpečná úložiště atd.).
  • API podporované v Android převzaté z programovacího jazyka JAVA: java.security (obecné struktury a objekty pro klíče, časová razítka atd.), javax.crypto (symetrické a asymetrické šifry, generování klíčů, ustanovení klíčů, MAC, hash funkce), javax.net.ssl (SSL relace, práce s certifikáty X.509) javax.security.cert (práce s certifikáty X.509, PGP atd.) a další.
  • Externí knihovny a provideři: například knihovna Spongy Castle pro Android (téměř veškerá kryptografické primitiva).

Vývojáři díky velkému počtu kryptografických prostředků mohou implementovat zabezpečovací metody přímo do svých Android aplikací, například pro autentizaci osob, elektronické lístky, přenos dat, mikroplatby a jiné. Přenos dat na krátkou vzdálenost je na některých zařízeních s OS Android umožněn technologií NFC. Na rozdíl od klasických autentizačních předmětů, jako jsou například čipové karty, mají mobilní zařízení s platformou Android většinou větší výpočetní sílu i paměťový prostor. Z tohoto důvodu jsou mobilní zařízení i perspektivním autentizačním předmětem, který umožňuje i výpočetně náročné operace především z oblasti asymetrické kryptografie.

FEKT VUT Brno

O skupině Crypto a laboratoři bezpečnostních technologií

Výzkumná skupina Crypto (Cryptology Research Group je tvořena vědeckými pracovníky a studenty z Ústavu telekomunikací, Fakulty elektrotechniky a komunikačních technologií VUT v Brně, kteří se zabývají kryptografií a bezpečností v informatice. V rámci centra SIX se jedná o členy laboratoře bezpečnostních technologií. Členové skupiny se zabývají především výzkumem a vývojem v oblasti kryptografického zabezpečení u systémů pro řízení přístupu, pro bezpečnou autentizaci a šifrovacích systémů pro přenos a ukládání dat. Skupina se také zabývá analýzou bezpečnosti hardwarového návrhu zařízení a návrhy vlastních bezpečnostních protokolů. V rámci výzkumné skupiny jsou bezpečnostní systémy také prakticky implementovány. Jedná se především o vývoj bezpečnostních aplikací pro čipové karty, vývoj bezpečnostních aplikací pro chytré telefony a zabezpečení systémů s nízkým výpočetním výkonem, jako jsou senzory, ovladače atd.

Technologie NFC a emulace čipových karet na platformě Android

Technologie NFC (Near Field Communication) slouží ke komunikaci na krátkou vzdálenost (jednotky cm). Mobilní zařízení, která tuto technologii využívají, mohou NFC využít pro přenos dat u různých uživatelských systémů, jako jsou přístupové systémy, mikroplatby, datové transakce atd. NFC vzniklo z technologie RFID (Radio Frequency Identification) a po roce 2004 se postupně začalo implementovat do mobilních zařízení. Platforma Android uvolnila aplikační rozhraní NFC ve verzi Android 2.3. Od verze Androidu 4.4 KitKat se přidala i podpora pasivního NFC, tedy možnosti emulace čipové karty. NFC poskytuje přenosovou rychlost 106, 212 nebo 426 kbit/s při frekvenci 13,56 MHz a kódování Manchester. U NFC rozlišujeme tři režimy komunikace (zobrazeno na obrázku 1):

  • peer-to-peer režim – P2P komunikace (např. pomocí funkce Android Beam),
  • read/write režim – načítaní dat telefonem z tzv. NFC tagů či bezkontaktních čipových karet pomocí zpráv NDEF (NFC Data Exchange Format),
  • card emulation režim – nyní díky Android 4.4 lze telefon použít jako čipovou kartu a přiložit jej ke čtecímu zařízení. 
Obr. 1: Režimy komunikace NFC
Obr. 1: Režimy komunikace NFC

Komunikace přes NFC je v aplikaci realizována pomocí speciálních Android zpráv, tzv. intentů, kdy např. přečtení NFC tagu vyvolává intent, který je dále zpracováván aplikací. Je také možné konfigurovat reakce na určité typy NFC tagů. Pomocí zařízení s NFC lze číst i bezkontaktní čipové karty MultOS, Mifare Classic, Mifare Ultralight, JAVA card atd. Tyto karty lze přečíst přes standardy ISO-DEP, NFC-A a NFC-B. Anténa NFC většinou bývá umístěna na zadní straně zařízení, tj. na zadním krytu či na baterii.

Emulace čipových karet

Emulace čipových karet byla umožněna až od verze Android 4.4 KitKat. Mobilní zařízení se tedy chová jako čipová karta. NFC komunikace je zde otevírána čtecím zařízením. Komunikace mezi stranami je zajištěna pomocí standardu ISO-DEP (14443) a zpráv APDU (7816-4). Android aplikace mají charakter služeb (tj. services).

Díky možnosti emulace čipových karet na mobilních telefonech lze implementovat moderní autentizační schémata i na tato zařízení. Jedná se například o atributová autentizační schémata ABC (Attribute-Based Credentials). Uživatel služby se zde prokazuje pouze držením určitého atributu (věk, občanství, řidičské oprávnění apod.). Samotná identita uživatele je však utajena, což je hlavní rozdíl oproti klasickým autentizačním schématům. Mezi tato schémata patří U-Prove (Microsoft), Idemix (IBM) a HM12 (VUT). Přibližná doba ověření uživatele při implementaci těchto schémat na různé mobilní platformy je zobrazena na obrázku 2. Doposud tato schémata využívala klasické čipové karty. Nicméně mobilní telefony nabízí vyšší výpočetní výkon, cca 20x větší než čipové karty (měřeno na operaci modulárního mocnění). Další výhodou využití mobilních telefonů namísto čipových karet je, že pro ověření uživatele v různých systémech postačuje pouze jedno zařízení, na kterém je nahráno několik emulovaných karet. Pro výměnu informací mezi čtecím zařízením a telefonem lze u telefonu s OS Android využít technologii NFC, v případě iOS pak technologii BLE (Bluetooth Low Energy) nebo přenos informací pomocí QR kódů.

S použitím mobilního telefonu jsou však spojena i některá úskalí, především se jedná o:

  • nižší ochranu kryptografických klíčů (i přes využití Keychain, Credential Storage),
  • nutnost napájení telefonu (čipová karta se nevybije),
  • absence NFC čipu u některých mobilních zařízení (např. Apple iOS technologii NFC doposud nepodporuje),
  • absence možnosti emulace čipových karet až do verze Android 4.4 KitKat.

I přes uvedené nevýhody se jeví emulace čipových karet jako užitečná. V budoucnu tak můžeme očekávat nové aplikace pro mobilní zařízení, které postupně budou čipové karty nahrazovat.
 

Obr. 2: Doba potřebná pro ověření klienta pro různá ABC schémata
Obr. 2: Doba potřebná pro ověření klienta pro různá ABC schémata

Ing. Petr Dzurenda je studentem doktorského programu na Ústavu telekomunikací FEKT VUT v Brně.
Ing. Jan Hajný, Ph.D., je odborným asistentem na Ústavu telekomunikací FEKT VUT v Brně. Je členem výzkumné skupiny Crypto, kde se mimo jiné věnuje kryptografickým systémům a návrhu nových autentizačních protokolů.
Ing. Lukáš Malina, Ph.D., je vědeckým pracovníkem Ústavu telekomunikací FEKT VUT v Brně. Jako člen skupiny Crypto se věnuje kryptografickým protokolům a autentizačním schématům.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.

Inzerce

Zacílené útoky s dalekosáhlými následky

Proč by státní instituce i soukromé společnosti měly rozšířit zabezpečení své sítě

KasperskyVýsledkem kyberútoků jsou často ztracená citlivá data, pošramocená pověst instituce a vysoké finanční ztráty. Tato kombinace následků může velmi jednoduše ohrozit existenci jak malých a středních podniků, tak mít i velké negativní finanční dopady na státní instituce.