You are here: TUTWiki>Tietoturva>Sisällysluettelo?>ToimikortinTurvallisuudesta (revision 1)

Toimikortin turvallisuudesta

Toimikortin elinkaaressa on useita vaiheita, joissa asteittain yhä enemmän kortilla olevaa tietoa jää vaiheen suorittajan ulottumattomiin, joko kokonaan tai kortin oman prosessorin myötävaikutuksen taakse. Tällä saavutetaan yksi kortin turvallisuuden keskeisistä ideoista eli se, että ulkopuolelta voi ainoastaan estää toimintaa, ei väärentää sitä. Lisäksi valmistusvaiheiden aikana toteutetaan useita varotoimia, jotta mikään yksi taho ei saisi täyttä tietoa sirun rakenteesta, salaisista avaimista eikä henkilökohtaisista tiedoista. Velvollisuuksien eriyttäminen "need-to-know"-periaatteella on näissä vaiheissa tyypillistä, samoinkuin yhtä useamman henkilön edellyttäminen tiettyjen avainten käsittelyyn. Elinkaaren vaiheet ovat karkeasti seuraavanlaiset:

  1. Prosessorisirun valmistus: testauksen jälkeen tähän tarkoitukseen käytetyt liitynnät eliminoidaan polttamalla "sulakkeet", sirun ROM:iin tähän mennessä talletettu ohjelmisto on suojattu sirukohtaisella avaimella, jotta tuntematon taho ei voi tehdä muutoksia. Valmistenumerot lisätään.
  2. Kortin toimittaja istuttaa sirun kortille ja liittää siihen ulospäin näkyvät kytkentänastat. Valmistusvaiheen avain korvataan toisella ja sen muuttaminen ehkäistään lukkobitillä. Fyysisen muistiviittauksen käskyt ehkäistään polttamalla sulake, minkä jälkeen vain looginen muistiviittaus on mahdollista (ja lukkobittikin siis tehoaa).
  3. Henkilöinti, jonka tekee kortin myöntävä taho: Loput tiedot kirjoitetaan kortille, erityisesti PIN, PUK ja salaiset avaimet. Lopuksi käyttölukkobitti asetetaan osoittamaan, että käyttövaihe on alkanut.
  4. Käyttö, jossa pääsy tietoihin rajoittuu sovelluksen politiikan mukaiseksi.
  5. Käytöstä poistaminen, joko niin että lukuoikeus säilyy, tai ettei sekään ole mahdollista.

Tiedostojärjestelmä muistuttaa unixia hakemistoineen. Tiedostoon pääsy voi olla: aina sallittua, vain omistajalle mahdollisesti eri tarkoitusten mukaan (vrt. PIN1 ja PIN2 sähköisessä henkilökortissa), hallinnollinen, ei koskaan.

PIN-hallinto: PIN (Personal Identification Number) on talletettuna tiettyyn tiedostoon ja sitä voi muuttaa samaan tapaan kuin salasanaa. Liian monta peräkkäistä väärää PIN-syöttöä lukitsee tiedoston. Pääsy edellyttää tämän jälkeen sekä oikean PIN-arvon että PUK-arvon (PIN Unblocking Key) syöttämistä, mutta myös PUK voi mennä lukkoon, jolloin kortti ainakin tämän PIN-arvon takana olevalta osalta siirtyy pois käytöstä. Tällainen on toiminta kortin kannalta. On eri asia, onko kortin omistajan hallussa oleva PUK-koodi "kokonainen" vai onko se jaettu kortin myöntäjän kanssa, kuten HST:ssä, jolloin tarvitaan yhteistoimia lukon avaamiseen.

Hyökkäyksiä (valmista) korttia vastaan:

  • Looginen hyökkäys: normaalinkaltaisessa käyttöympäristössä kortin kanssa käytävästä kommunikaatiosta (tai vaikkapa virrankulutuksesta) yritetään selvittää salaisuuksia. Tätä voidaan tehdä myös siinä tapauksessa, että PIN on saatu selville. Salaiset avaimethan eivät tällöinkään tule näkyviin, vaan ainoastaan käytettäviksi; kyseeseen voi siis tulla "valittu teksti"-tyyppinen kryptoanalyysi.
  • "Fyysis-looginen" hyökkäys käyttää epänormaalia jännitettä tai lämpötilaa, kellotaajuuden vaihtelua tai säteilyä saadakseen aikaan poikkeavaa käytöstä, joka voi paljastaa kortin tietoja.
  • Fyysinen hyökkäys voi tunkeutua edellisiä pitemmälle sirun sisuksiin.
  • Toisenlainen hyökkäys voisi olla kortinlukijaa käyttävään työasemaan asennettu Troijan hevonen, joka suorittaa omia operaatioitaan (esim. allekirjoitusta) samalla "oven avauksella", tarvitsematta saada selville PIN:ä.

Lisätietoa toimikorteista ja turvallisuudesta saa W. Ranklin artikkelista ja koko hänen kirjastaan (2003). Useita erityyppisiä yleisartikkeleita löytyy Smart Card Alliance n sivulta . Esimerkki hyökkäyksistä tunnetun Mifare-kortin alkuperäistä versiota vastaan löytyy WikiPediasta lähdeviitteineen (2008).

-- JukkaKoskinen?

SivuTiedotLaajennettu edit

Vaativuus Perus
Valmius Valmisteilla
Tyyppi Ydin
Luokitus Uhkat
Mitä Luottamuksellisuus
Miltä Ihmisetön uhka
Missä Organisaatio
Kuka Tite-ammattilainen
Milloin Ennakolta
Miksi Hyvä tapa
Print version |  PDF  | History: r2 < r1 | 
Topic revision: r1 - 07 Mar 2010 - 17:31:40 - MaijuLehtonen?
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback