Entregado como requisito para la
obtención del título de Licenciado en Análisis de
Sistemas de Información
- Abstract
- Banda magnética vs.
Tarjeta inteligente - ¿Qué es una tarjeta
inteligente? - Estandares
- Sistema operativo y estructura
de ficheros - Seguridad
- Usos de las tarjetas
inteligentes - Conclusiones
- Bibliografía
Este artículo está escrito para todas
aquellas personas que deseen acercarse al mundo de las tarjetas
inteligentes, conocer sus características, su
funcionamiento y aplicaciones.
Las tarjetas inteligentes son dispositivos con las
características físicas de las tarjetas de crédito, con un microprocesador
incrustado que controla el acceso a la información que contiene.
Las tarjetas inteligentes son actualmente utilizadas
para almacenar información de cualquier tipo, en cualquier
mercado (banca, salud, estado, etc.),
para control de acceso
y seguridad (por su
capacidad de encriptamiento, manejo de claves públicas y
privadas, etc.), para pago electrónico (monederos
electrónicos), planes de lealtad, y más.
En el capítulo 1 se hace una breve introducción sobre lo que son las tarjetas
inteligentes y para que se utilizan.
En el capitulo 2 se explica como surgen las tarjetas
inteligentes y para ello se contraponen con las tarjetas de banda
magnética.
En el capitulo 3 se describen las diferentes clases de
tarjetas inteligentes existentes, y los dispositivos que permiten
acceder a ellas.
En el capitulo 4 se habla sobre el estándar
ISO 7816 que
es el que rige las normas de
fabricación de las smart cards.
En el capitulo 5 se describe el sistema operativo
y la estructura de
ficheros que la tarjeta utiliza.
En el capitulo 6 se describen algunas técnicas
criptográficas usadas en la actualidad, las cuales son
aprovechadas por las tarjetas inteligentes.
En el capitulo 7 se habla sobre las aplicaciones que se
les da a las tarjetas inteligentes y se profundiza sobre el dinero
electrónico.
Debido a la avanzada tecnología que se
presenta en el mundo se hace necesario que constantemente se
éste en evolución y aprovechando las ventajas que
está nos ofrece, en cualquiera de los servicios
donde se aplique. Esta posee la necesidad del manejo de la
información en forma oportuna, rápida y sin limites
de papeleos o demoras para su consecución, por esto se
hace necesario el
conocimiento general de la tecnología de tarjetas
inteligentes por parte de la comunidad para su
uso masivo.
Hasta ahora, la banda magnética de las tarjetas
de crédito y de débito, ha sido la
tecnología dominante en el mercado; sin embargo, en ellas
sólo se puede almacenar una pequeña cantidad de
información, de modo que la gran mayoría de los
datos
personales y de las operaciones de la
tarjeta magnética, residen en servidores
centrales de la compañía que las emite.
Con una tarjeta inteligente, toda la información
necesaria para las transacciones está alojada en el
microprocesador insertivo, lo que significa que el tráfico
de información es mucho menor con respecto al de las
tarjetas de banda magnética, incrementándose
así el nivel de seguridad de las operaciones.
Con las tarjetas inteligentes se puede operar desde un
simple control de acceso del personal a
una empresa o
escuela, hasta
complejas combinaciones que pueden incluir la información
personal del usuario, su historial clínico y algún
sistema de
cliente
frecuente, incluyendo servicios financieros como monedero
electrónico o tarjetas de débito y de
crédito.
Las tarjetas inteligentes cada vez son más
utilizadas. Los niveles de seguridad y la capacidad de almacenamiento
que manejan, han llevado a los bancos y a otras
Instituciones
Financieras a reemplazar poco a poco sus tarjetas convencionales
de banda magnética por tarjetas de chip. La
posibilidad de almacenar y procesar información en este
sofisticado y diminuto mecanismo, facilita la realización
de procesos y
permite administrar la información de mejor
manera.
Banda magnética vs. tarjeta
inteligente
TARJETAS
MAGNÉTICAS CONVENCIONALES
La tarjeta magnética convencional se
desarrolló a finales de los 60 para satisfacer varias
necesidades. Una de ellas es permitir a los clientes de los
bancos y entidades de ahorro activar
y operar de forma rápida y efectiva con los cajeros
automáticos. También, para proporcionar un medio
con el que operar en puntos de venta
específicos.
El objetivo de
esta tarjeta es identificar a un cliente para acceder a una
base de datos
remota con la que se establece una conexión. La
información que posee la base de datos permite aceptar o
rechazar esa transacción.
En la actualidad, la utilización de la tarjeta
magnética se ha generalizado de tal forma que, al
año, se producen y utilizan una media de 1400 millones de
tarjetas magnéticas en el mundo.
Las tarjetas magnéticas han producido importantes
resultados en el mercado financiero pero no ofrecen soluciones
para los nuevos mercados y
servicios que aparecen: televisión
interactiva, telefonía digital, etc.
El problema se debe a que las tarjetas magnéticas
actuales se han utilizado para dar solución a problemas que
aparecieron hace 25 años y están ligados a esas
tecnologías: dependencias de ordenadores centrales y
grandes redes
dedicadas, a diferencia de los sistemas
distribuidos actuales y de las nuevas soluciones.
Además, la tarjeta magnética ofrece muy baja
densidad de
datos, baja fiabilidad y poca o ninguna seguridad en la
información que lleva.
La tarjeta inteligente surge ante nuevas necesidades
del mercado, las cuales no pueden ser satisfechas por la
tarjeta de banda magnética.
Esta tecnología tiene su origen en la
década del 70 cuando inventores de Alemania,
Japón
y Francia
inscribieron las patentes originales. Debido a varios factores
que se presentaron, y de los cuales la inmadura
tecnología de semiconductores
tuvo un mayor peso, muchos trabajos sobre tarjetas inteligentes
(smart cards) estuvieron en investigación y desarrollo
hasta la primera mitad de los años ochenta.
La tecnología que está más
extendida en la actualidad es la basada en banda
magnética. Prácticamente todo el mundo dispone de
alguna tarjeta, normalmente de uso financiero, que en su parte
posterior tiene una banda de color
marrón oscuro. Esta banda magnética es similar a
un pedazo de cinta magnética de una cassette musical. Su
misión
es almacenar cierta información, como el nombre del
titular, el número de su cuenta, el tipo de tarjeta y el
PIN (Personal Identification Number). Básicamente se
puede decir que identifica al usuario con la máquina con
la que se pone en contacto (ATM, TPV…), y
está máquina o dispositivo, sola en ciertas
operaciones, o conectándose on-line con otros
dispositivos en otras, gestiona una serie de operaciones y
guarda cierta información de cada
transacción.
Hasta el punto mencionado la tecnología chip
aporta prácticamente lo mismo que la banda
magnética.
Sin embargo hay al menos tres campos en los que la
potencialidad implícita en el chip da a esta
última tecnología una clara ventaja de cara al
futuro.
- SEGURIDAD
El contenido de la banda magnética, por la
tecnología que implica, puede ser leído y,
aunque no es sencillo, puede ser manipulado por personas
con conocimiento y medios
adecuados. El chip, sin embargo, contiene una
tecnología interna mucho más sofisticada que
hace que las posibilidades de manipulación física se reduzcan de forma muy
sensible. Además, por su capacidad interna, es capaz
de soportar procesos criptográficos muy complejos
(DES simple, triple DES, RSA…). Más adelante en
este documento se hablara más sobre la seguridad en
las tarjetas inteligentes.La cantidad de información incorporable a
una banda magnética es pequeña y,
parcialmente modificable, por lo que la relación
entre el usuario de la tarjeta y el emisor es
unidimensional: únicamente se actualiza cuando
sé interactúa a través de hardware
sofisticado (ATMs). El chip, sin embargo, une a su mayor
capacidad de recogida de información, la virtualidad
de poder
gestionar dicha información, con lo que se abren
nuevas posibilidades para la relación
usuario-emisor. Estas características diferenciales
motivan que la difusión de la tecnología chip
aplicada en tarjetas de plástico sea altamente deseable. Esta
difusión pasa inevitablemente por la
estandarización del producto. En el terreno estrictamente
físico, la ubicación exacta del chip en la
tarjeta de plástico y de los contactos a
través de los que interactúa está
consensuada a nivel mundial. Esto, además de otros
efectos intrínsecamente más importantes, ha
tenido como efecto que su imagen se
esté popularizando y sea cada vez más
comúnmente reconocida. La parte más exterior
de todo el mecanismo que soporta su operatoria no es el
chip, sino un conjunto de zonas de contacto, cada una de
las cuales tiene unas funciones
predeterminadas, las cuales se detallarán más
adelante en éste documento.- CAPACIDAD DE
ALMACENAMIENTO DE INFORMACIÓN - FLEXIBILIDAD
La tecnología de Tarjetas Inteligentes es
compatible con los principales tipos de
sistemas operativos. También un entorno de programación que permite crear, almacenar
o suprimir aplicaciones en las tarjetas, lo que significa que
es posible hacer tarjetas "a medida" seleccionando para la
tarjeta las aplicaciones que se adapten a las circunstancias y
necesidades de cada persona.
1979 Primer prototipo de tarjeta de memoria
1982 Primer tarjeta telefónica fabricada para
France Telecom
1988 Primer tarjeta DES bancaria fabricada para
Carte Bancaire
1993 Primer tarjeta GSM-SIM (
Global System for Mobile Comunication)
1996 Primer tarjeta RSA 1024 bits
"cryptoprocessor"
1997 Primer tarjeta de ICC Java
powered
2000 Primer tarjeta de ICC Windows 2000
powered
2000 Primer tarjeta de ICC para SunRay
workstation
- Gemplus (www.gemplus.com)
- Schlumberger (www.slb.com)
- Bull (www.bull.com)
- Oberthur (www.oberthur.com)
- Orga (www.orga.com)
- Solaic (www.winforms.phil.tu-bs.de/winforms/
company/solaic/solaic.html) - De la Rue (www.delarue.com)
¿Qué es una Tarjeta
Inteligente?
Es bastante frecuente denominar a todas las tarjetas
que poseen contactos dorados o plateados sobre su superficie ,
como tarjetas inteligentes. Sin embargo, este término es
bastante ambiguo y conviene hacer una clasificación mas
correcta. ISO (International Standard Organization) prefiere
usar el término "tarjeta de circuito integrado"
(Integrated Circuit Card o ICC), para referirse a todas
aquellas tarjetas que posean algún dispositivo
electrónico. Este circuito contiene elementos para
realizar transmisión, almacenamiento y procesamiento de
datos. La transferencia de datos puede llevarse a cabo a
través de los contactos, que se encuentran en la
superficie de la tarjeta, o sin contactos por medio de campos
electromagnéticos.
Estas tarjetas presentan bastantes ventajas en
comparación con las de bandas
magnéticas:
- Son capaces de almacenar más
información. - Pueden proteger la información que almacenan
en sus memorias de
posibles accesos no autorizados. - Poseen una mayor resistencia al
deterioro de la información almacenada.
Dado que el acceso a la información se realiza
a través de un puerto serie y supervisado por el propio
sistema operativo de la tarjeta, es posible escribir datos
confidenciales que no puedan ser leídos por personas no
autorizadas. En principio, las funciones de escritura,
lectura y
borrado de la memoria
pueden ser controladas tanto por el hardware como por el
software, o por
ambos a la vez. Esto permite una gran variedad de mecanismos de
seguridad.
Siendo el chip integrado el componente más
importante, las tarjetas están clasificadas según
el tipo de circuito.
CLASES DE TARJETAS
INTELIGENTES
Estas tarjetas son las que necesitan ser
insertadas en una terminal con lector inteligente para que
por medio de contactos pueda ser leída. Existen dos
tipos de tarjeta inteligente de contacto: Las
sincrónicas y las asincrónicas.Los datos que se requieren para las
aplicaciones con tarjetas de memoria son almacenados en una EEPROM (
Electrical Erasable Programable Read Only
Memory).Estas tarjetas son desechables cargadas
previamente con un monto o valor que va decreciendo a medida que se
utiliza y una vez que se acaba el monto se vuelve
desechable.Memoria Libre: Carece de mecanismos de
protección para acceder a la información.
Las funciones que desempeñan están
optimizadas para aplicaciones particulares en las que
no se requieren complejos mecanismos de
seguridad.Se utilizan para el pago de peajes,
teléfonos públicos, maquinas
dispensadoras y espectáculos.
Memoria Protegida:
Poseen un circuito de seguridad que proporciona
un sistema para controlar los accesos a la memoria
frente a usuarios no autorizados. Este sistema funciona
mediante el empleo de un código de acceso que puede ser de
64 bits o más.- Tarjetas Inteligentes Sincrónicas o
Tarjetas de Memoria - Tarjetas Asincrónicas
- Tarjeta Inteligente de
Contacto
Estas tarjetas poseen en su chip un microprocesador,
que además cuenta con algunos elementos adicionales como
son:
- ROM enmascarada.
- EEPROM.
- RAM.
- Un puerto de Entrada/Salida
La ROM ( Read Only Memory ) enmascarada contiene el
sistema operativo de la tarjeta, y se graba durante el proceso de
fabricación.
La EEPROM es la memoria no volátil del
microprocesador, y en ella se encuentran datos del usuario o de
la aplicación, así como el código de las
instrucciones que están bajo el control del sistema
operativo. También puede contener información
como el nombre del usuario, número de
identificación personal o PIN (Personal Identification
Number).
La RAM ( Random
Access
Memory ) es la memoria de trabajo del
microprocesador. Al ser volátil se perderá toda
la información contenida en ella al desconectar la
alimentación.
El puerto de entrada y salida normalmente consiste en
un simple registro, a
través del cual la información es transferida bit
a bit.
Las tarjetas con microprocesador son bastantes
flexibles puesto que pueden realizar bastantes funciones. En el
caso más simple, sólo contienen datos referentes
a una aplicación específica, esto hace que dicha
tarjeta solo se pueda emplear para esa aplicación, sin
embargo, los sistemas
operativos de las tarjetas más modernas hacen
posible que se puedan integrar programas para
distintas aplicaciones en una sola tarjeta. En este caso la ROM
contiene sólo el sistema operativo con las instrucciones
básicas, mientras que el programa
específico de cada aplicación se graba en la
EEPROM después de la fabricación de la
tarjeta.
Son similares a las de contacto con respecto a lo que
pueden hacer y a sus funciones pero utilizan diferentes protocolos de
transmisión en capa lógica
y física, no utilizan contacto galvanico sino de interfase
inductiva. Poseen además del chip, una antena de la cual
se valen para realizar transacciones. Son ideales para las
transacciones que tienen que ser realizadas muy
rápidamente.
Esta tecnología ofrece ventajas con
respecto a la de las tarjetas de contacto. Cuando en una tarjeta
de contactos se producen fallos de funcionamiento, casi siempre
se deben al deterioro en la superficie de contacto o a la
suciedad adherida a los mismos. Una de las ventajas de las
tarjetas sin contactos es que los problemas técnicos antes
mencionados no ocurren, debido claro está, a que carecen
de contactos. Otra de las ventajas es la de no tener que
introducir la tarjeta en un lector. Esto es una gran ventaja en
sistemas de
control de accesos donde se necesita abrir una puerta u otro
mecanismo, puesto que la autorización de acceso puede ser
revisada sin que se tenga que sacar la tarjeta del bolsillo e
introducirla en un terminal.
Este tipo de tarjetas se comunican por medio de
radiofrecuencias. Según la proximidad necesaria entre
tarjeta y lector, existen dos tipos:
- Tarjeta cercana: debe estar a unos pocos
milímetros del lector para que sea posible la
comunicación. - Tarjeta Lejana : la distancia varía entre
centímetros y unos pocos metros.
Desde el punto de vista de cómo se alimentan,
existen dos tipos:
- Uno en el cual la tarjeta incorpora junto al chip una
batería que alimenta a los circuitos - Otro tipo que incorpora un hilo metálico
incrustado. Este hilo se somete a un campo
electromagnético variable que a su vez induce una
corriente
eléctrica capaz de alimentar los circuitos de la
tarjeta.
La mayoría de las tarjetas poseen en su
superficie 8 contactos, los cuales representan el único
interfaz electrónico existente entre la tarjeta y el
terminal lector. Todas las señales eléctricas circulan a
través de estos contactos, sin embargo se reservan dos
contactos para un uso futuro.
Para ver el gráfico seleccione
la opción "Descargar" del menú
superior
Vcc – el chip es similar a un PC. Precisa, por
tanto, de energía para funcionar. Vcc es el "toma de
corriente" del chip. La energía la proporciona el
dispositivo hardware con el que la tarjeta interactúa en
cada operación.
RST – es el mecanismo que pone en funcionamiento la
interrelación entre una tarjeta inteligente y cualquier
elemento Externo adecuado con el que se ponga en contacto (TPV,
ATM, TPS).
CLK – el "reloj" determina la velocidad de
funcionamiento de la tarjeta.
RFU – no tiene asignadas funciones por el
momento.
GND – la "masa" de la "toma de corriente".
VPP – Voltaje externo para programar la memoria
de la tarjeta.
I/O – punto de entrada y salida de la
información.
RFU – no tiene asignadas funciones por el
momento.
Fases de vida de la tarjeta
inteligente
- Fabricación:
-Desarrollo del SO y su implementación como
mascara ROM.
–Producción industrial del
chip.
- Preparación:
-Inicialización y pre-personalización de
la tarjeta según uso futuro.
-Envío al expendedor de la tarjeta.
- Personalización.
- Uso.
- Fin de la vida activa.
LECTORES DE TARJETAS
INTELIGENTES
Como el propio nombre lo indica, un lector de tarjetas
es una interfaz que permite la comunicación entre una tarjeta y otro
dispositivo. Los terminales se diferencian unos de otros en la
conexión con el ordenador, la comunicación con la
tarjeta y el software que poseen.
Para ver el gráfico seleccione
la opción "Descargar" del menú
superior
Existe lectores de tarjetas inteligentes
para cada aplicación y los podemos dividir
en:
- Lectores conectados a un PC: Como su nombre lo indica
son lectores fabricados para ser usados conectándolo a
un computador,
esta conexión puede ser a través de un puerto
serie, usb, pcmcia,
etc. - Lectores conectados a un equipo específico:
Son lectores que se pueden instalar (previo fabricación
y diseño) en un aparato determinado para
cumplir con una función.
Estos lectores se pueden instalar en:
Cajeros automáticos, máquinas
expendedoras, parquímetros, puertas (control de
acceso), motores,
etc.
- Lectores Portátiles: Son equipos que no
necesitan de otro aparato para cumplir su función.
Generalmente poseen todos los recursos
integrados como baterías, memoria, pin pad,
etc.
ISO: normas que afectan a las características
más básicas, incluso físicas, de los
componentes de las tarjetas Inteligentes.EMV: los tres operadores internacionales más
importantes de medios de pago están ultimando el
desarrollo de estándares que se refieren al proceso
transaccional.CEN: normativa del Comité Europeo de Normalización que tiene por objeto el
funcionamiento de las aplicaciones. La homogeneidad de este
aspecto posibilita la convivencia de diferentes utilidades en
una misma tarjeta.La tarjeta inteligente más
básica cumple los estándares de la serie ISO
7816, partes 1 a 10. Este estándar detalla la
parte física, eléctrica, mecánica y la interfaz de
programación para comunicarse con el
microchip.La descripción de cada una de las partes
de la ISO 7816 es:7816-1: Características
Físicas.7816-2: Dimensiones y ubicaciones de los
contactos7816-3: Señales Electrónicas y
Protocolo
de Transmisión7816-4: Comandos de
intercambio inter-industriales7816-5: Sistema de Numeración y procedimiento
de registración7816-6: Elementos de datos
inter-industriales7816-7: Comandos inter-industriales y Consultas
Estructuradas para una Tarjeta7816-8: Comandos inter-industriales Relacionados con
Seguridad.7816-9: Comandos adicionales inter-industriales y
atributos de seguridad.7816-10: Señales electrónicas y
Respuesta al Reset para una Smart Card
Síncrona.Una descripción para las smart cards
sin contacto está descrito en el estándar
ISO 14443.- ESTANDARES
El rasgo más distintivo de una tarjeta es sin
duda su aspecto físico. Otra característica
notable a simple vista es la presencia o no del área de
contactos, que tiene la forma de un cuadrado dorado o plateado,
y que se encuentra en la superficie de la tarjeta. En algunos
casos esta área no existe (tarjetas sin
contacto).
Existe una intima relación entre el cuerpo de
la tarjeta y el chip que lleva implantado dentro, de nada sirve
que el cuerpo de la tarjeta sea capaz de soportar temperaturas
extremas, si el microprocesador no comparte esa
característica. Ambos componentes deben de satisfacer
todos los requisitos tanto por separado como
conjuntamente.
- Tarjeta conforme con ISO 7810, 7813
- La tarjeta debe:
-Resistir ataques con rayos X y
luz
Ultravioleta
-Tener superficie plana
-Permitir cierto grado de torsión
-Resistir altos voltajes, campos
electromagnéticos, electricidad
estática
-No disipar más de 2,5 W
- Tamaños de tarjetas
-ID-1 (es el más habitual)
-ID-00
-ID-000 (el de GSM)
Dado que el microprocesador requiere de una
vías por donde tomar la alimentación para sus
circuitos o para llevar a cabo la trasmisión de
datos, es necesario una superficie física de
contacto que haga de enlace entre el lector y la
tarjeta.Esta superficie consiste en 8 contactos que se
encuentran en una de las caras de la tarjeta.El tamaño de los contactos no deber ser
nunca inferior a1,7 mm de alto y 2 mm para el ancho, el
valor máximo de estas medidas no está
especificado.
- ISO 7816-2:
Dimensión y localización de los
contactos - ISO 7816-3:
Señales electrónicas y protocolos de
transmisión
Toda comunicación que se realice con una
tarjeta es iniciada siempre por el dispositivo externo, esto
quiere decir que la tarjeta nunca transmite información
sin que se haya producido antes una petición externa.
Esto equivale a una relación maestro-esclavo, siendo el
terminal el maestro y la tarjeta el esclavo.
Cada vez que se inserta una tarjeta en el terminal
lector, sus contactos se conectan a los del terminal y
éste procede a activarlos eléctricamente, a
continuación, la tarjeta inicia un reset de encendido y
envía una respuesta llamada ATR ( Answer To Reset )
hacia el terminal. Esta respuesta contiene información
referente a cómo ha de ser la comunicación
tarjeta-lector, estructura de los datos intercambiados,
protocolo de transmisión, etc.
Una vez que el lector interpreta el ATR procede a
enviar la primera instrucción. La tarjeta procesa la
orden y genera una respuesta que es enviada hacia el terminal.
El intercambio de instrucciones y respuestas acaba una vez que
la tarjeta es desactivada.
Entre la respuesta ATR y la primera orden enviada, el
terminal puede transmitir una instrucción de selección del tipo de protocolo o PTS (
Protocol Type Selection ). Esto sucede cuando la tarjeta
especifica más de un protocolo en la respuesta al reset
y el terminal no sabe cuál ha de usar.
Todos los datos enviados por la línea de
comunicación son digitales y usan los valores
"0" y "1". Los valores de
tensión usados son 0 y 5 voltios. Parte de la
información contenida en la ATR tiene la misión
de informar sobre qué valor de tensión se va a
aplicar a cada digito binario. Existen dos convenios: el de la
lógica directa que asigna 5 Voltios al "1"
lógico, y 0 Voltios al "0" lógico, y el de
lógica inversa que asigna 5 Voltios al "0", y 0 Voltios
al "1" lógico.
Los protocolos de transmisión especifican con
precisión cómo han de ser las instrucciones, las
respuestas a las mismas y el procedimiento a seguir en caso de
que se produzcan errores durante la transmisión. Existen
alrededor de 15 protocolos distintos, pero dos de ellos son los
mas utilizados., el T=0 que fue diseñado en 1989, y el
T=1 que fue introducido en 1992.
SISTEMA OPERATIVO Y ESTRUCTURA DE
FICHEROS
Para ver el gráfico seleccione
la opción "Descargar" del menú
superior
En contraste con los sistemas
operativos conocidos, los sistemas
basados en tarjetas inteligentes no permiten al usuario el
almacenamiento externo de información, siendo las
prioridades más importantes la ejecución segura
de los programas y el control de acceso a los datos.
Debido a la restricción de memoria, la cantidad
de información que se puede grabar es bastante
pequeña. Los módulos de programa se graban en la
ROM, lo cual posee la desventaja de no permitir al usuario
programar el funcionamiento de la tarjeta según sus
propios criterios, ya que una vez grabado el sistema operativo
es imposible realizar ningún cambio. Por
esto el programa grabado en la ROM debe ser bastante fiable y
robusto.
Otra característica importante del sistema
operativo es que no permite el uso de "puertas traseras", que
son bastante frecuentes en sistemas grandes. Esto quiere decir
que es imposible hacer una lectura desautorizada de los datos
contenidos usando el código propio de la
tarjeta.
Existen otras funciones que desempeña el
código almacenado en la ROM:
- Transmisión de datos desde y hacia la
tarjeta. - Control de la ejecución de los
programas. - Administración de los datos.
- Manejo y administración de algoritmos
criptográficos.
Unas de las principales características de las
tarjetas de circuito integrado es que permiten almacenar datos
e incluso proteger el acceso a dichos datos frente a lecturas
no autorizadas. Las tarjetas incluyen auténticos
sistemas de administración de ficheros que siguen una
estructura jerárquica. Los programas que gobiernan estos
sistemas están bastante minimizados para reducir el uso
de memoria.
Los sistemas operativos más recientes
están orientados a trabajar con objetos, esto quiere
decir que todos los datos referentes a un fichero están
contenidos en él mismo. Otra consecuencia es que para
efectuar cambios en el contenido de un fichero, éste
debe ser seleccionado con la correspondiente
instrucción. Los ficheros están divididos en dos
secciones distintas: la primera se conoce como cabecera y
contiene datos referentes a la estructura del fichero y a las
condiciones de acceso. La otra sección es el cuerpo del
fichero que contiene los datos del usuario.
La estructura de los ficheros contenidos en una
tarjeta es similar a los sistemas DOS y UNÍX. Existen
varios directorios que hacen las funciones de carpetas que
contienen ficheros. Los tipos de ficheros existentes
son:
- Fichero Maestro (MF):
Es el directorio raíz y es seleccionado de
manera automática después de iniciar la tarjeta.
En él están contenidos todos los directorios y
ficheros. El fichero maestro representa a toda la memoria
disponible en la tarjeta para almacenar datos.
- Fichero Dedicado (DF):
Situado debajo del MF.
Es un directorio que puede contener ficheros o incluir
a otros DF. El nivel de anidamiento es infinito pero ha de
restringirse debido a la escasez de
memoria.
- Fichero Elemental (EF):
Situado debajo del MF o de un DF.
Los datos de usuario necesarios para la
aplicación están almacenados en estos
ficheros.
Para ver el
gráfico seleccione la opción "Descargar" del
menú superior
Existen en la actualidad empresas que
han tomado la decisión de basar la seguridad de sus
sistemas en las tarjetas inteligentes. La seguridad
física de estas es muy alta. Sin el PIN ( Personal
Identification Number ) estas tarjetas no se activan impidiendo
su uso por usuarios no autorizados.
Un problema de seguridad que hasta ahora ha quedado
sin resolver es el de la comunicación entre la tarjeta y
el lector. Algunas tarjetas se utilizan sobre redes de comunicaciones como Internet en las
que se pueden producir escuchas de información
confidencial. Otro de los problemas de es el de la
autenticación, consistente en asegurar de forma fiable
la identidad
del interlocutor. La tarjeta tiene que estar segura de que el
lector con el que trata o el expendedor de dinero
electrónico del que extrae dinero son de fiar y a su vez
los lectores y los sistemas centrales de las aplicaciones
financieras tienen que asegurarse que están tratando con
una tarjeta válida.
La criptografía buscar resolver tres
problemas básicos: confidencialidad, que la
información no sea accesible a un usuario no autorizado;
integridad, que la información no sea modificada sin
autorización; y autenticación, que se reconozca
de forma fiable la identidad del interlocutor.
Para entender algunas de las aplicaciones de dinero
electrónico en tarjetas inteligentes hay que entender
también las técnicas criptográficas de
demostración de identidad de conocimiento cero (
Zero-knowledge proof identity ZKPI ).
ZKPI es un protocolo criptográfico que permite
demostrar la identidad de un interlocutor sin que un
espía obtenga información que le permita
suplantarlo en el futuro. El problema de la
identificación por nombre de usuario y clave ( muy usada
en los sistemas multiusuario ) es que un espía que
escuche una vez las comunicaciones obtiene la
información suficiente para suplantar al legitimo
usuario. El protocolo ZPKI obvia este problema impidiendo un
ataque tan simple como escuchar las comunicaciones cuando se
está ejecutando el protocolo de demostración de
identidad.
La palabra "criptografía" deriva de "cripto" (
oculto ) y "grafos" (
escritura ), y su objetivo es garantizar la privacidad y
autenticidad del mensaje y del emisor. En el bando contrario,
el criptoanálisis persigue romper la privacidad del
mensaje y suplantar al emisor.
La técnica de cifrado se basa en un algoritmo de
cifrado y una clave, de tal forma que se requieren ambos para
generar, a partir del texto claro,
el texto cifrado. Para descifrar se requieren un algoritmo de
descifrado y una clave de descifrado.
Un protocolo criptográfico es aquel que utiliza
técnicas criptográficas junto con las reglas de
comunicación.
Estos protocolos se utilizan por temas tan diversos
como asegurar una comunicación, reconocer al
interlocutor, firmar contratos,
etc.
La técnica mas inmediata para obtener una clave
consiste en probar todas las claves posibles hasta descifrar la
correcta. Esta técnica se conoce como "fuerza
bruta". Cuando un atacante conoce un mensaje en claro y
cifrado, probará todas las claves posibles, comparando
el resultado del descifrado con el texto claro, cuando
coinciden ha obtenido la clave.
- CIFRADO
SIMÉTRICO Se caracteriza por poseer un único
algoritmo de cifrado/descifrado, aunque en la
ejecución de ambas operaciones pueden existir
pequeñas variaciones, y por una única clave
para cifrar y descifrar. Esto implica que la clave tiene
que permanecer oculta y ser compartida por el emisor y el
receptor, lo que significa que se debe distribuir en
secreto y se necesita una clave para cada par de
interlocutores.Se caracteriza por la existencia de dos claves
independientes para cifrar y para descifrar. Esta independencia permite al receptor hacer
pública la clave de cifrado , de tal forma que
cualquier entidad que desee enviarle un mensaje pueda
cifrarlo y enviarlo. La clave de descifrado permanece
secreta, por lo que sólo el receptor legitimo puede
descifrar el mensaje. Ni siquiera el emisor es capaz de
descifrar el mensaje una vez cifrado.- CIFRADO
ASIMÉTRICO (clave pública) - FORTALEZA DE LOS
ALGORITMOS DE CIFRADO
Dentro de los sistemas criptográficos hay que
distinguir entre el algoritmo criptográfico y el
protocolo criptográfico. Un algoritmo
criptográfico es un mecanismo que permite convertir un
texto claro ( legible) en otro cifrado ( ilegible). Un
protocolo criptográfico es un protocolo en el que se
utilizan algoritmos criptográficos.
La seguridad de un sistema con protección
criptográfica puede venir de la debilidad de sus
algoritmos o de sus protocolos, también puede producirse
a través de sus claves. Un algoritmo es inseguro cuando
existe un método
más eficaz que la fuerza bruta para obtener la clave; no
es necesario probar todas las claves posibles para obtenerla.
Un protocolo es inseguro cuando siendo seguros sus
algoritmos criptográficos, es posible debilitar alguna
de sus propiedades criptográficas (
autenticación, integridad y confidencialidad
).
CIFRADO DATA ENCRYPTION
STANDARD (DES)
Es uno de los sistemas criptográficos
más utilizados en todo el mundo. Esto no significa que
el algoritmo sea el menos vulnerable o el más eficiente,
sino que su verdadera importancia reside en la
aceptación que ha tenido en el mercado
criptográfico, ya que fue uno de los primeros intentos
por parte del gobierno de los
Estados
Unidos por implantar un estándar para transmitir
datos digitales de una forma segura.
El DES se define como un algoritmo simétrico
cifrador de bloques de 64 bits, es decir, el algoritmo cifra
bloques de texto de 64 bits utilizando una clave de 56 bits,
generando un bloque de texto cifrado de 64 bits.
Debido al carácter simétrico del algoritmo,
se utiliza la misma clave para cifrar y descifrar,
usándose también el mismo algoritmo para ambas
funciones.
RSA es uno de los algoritmos de clave pública
más representativos. Sirve tanto para cifrar como para
realizar firmas digitales. Es uno de los pocos algoritmos que
se pueden implementar y comprender de una manera sencilla. Su
nombre se debe a las iniciales de sus tres inventores, Ron
Rivest, Adi Shamir y Leonard Adleman, los cuales crearon el
algoritmo en el año 1978.
La verdadera fortaleza del sistema radica en la
dificultad de obtener la clave privada a partir de los datos
públicos del sistema.
Aunque existen algoritmos que realizan la firma
digital con técnicas de cifrado simétrico,
éstos adolecen de la necesidad
USOS DE LAS TARJETAS
INTELIGENTES
- Programas de Fidelización
Cada vez más programas de fidelización
en sectores como líneas aéreas, hoteles, restaurantes de comida
rápida y grandes almacenes,
utilizan las tarjetas inteligentes, que registran los puntos y
premios, y que ofrecen datos detallados sobre los
hábitos y experiencias de los clientes a los operadores
de dichos programas, a fin de elaborar sus campañas de
marketing
con mayor precisión.
- Monederos Electrónicos
Estas tarjetas electrónicas de pago permiten
evitar los problemas de encontrar el cambio exacto, ya que
cargan el efectivo en un monedero electrónico que puede
usarse para las compras de
todos los días en tiendas, kioscos, billetes de transporte,
parquímetros, teléfonos, etc.
- Aplicaciones en Grupos
Cerrados
Las tarjetas inteligentes están muy extendidas
entre los grupos cerrados de usuarios (residentes de una
ciudad, personal de una universidad,
personal de una compañía, aficionados de un
equipo deportivo, clientes de un parque de atracciones, etc.),
los cuales pueden utilizar tarjetas con múltiples
aplicaciones para pagar sus cuotas o acceder a servicios (por
ejemplo, descuento en compras, entrada para partidos,
máquinas expendedoras, credenciales de biblioteca,
parques de atracciones, estacionamientos, etc.), de forma
ilimitada de acuerdo con la autorización y
circunstancias personales
- Tarjetas de asistencia Médica (Clínicas
y Seguros)
Las tarjetas inteligentes o smarts cards, pueden
almacenar expedientes médicos, información para
casos de emergencia y situación en materia de
seguros de enfermedad.
- Documentos y Credenciales (Seguridad y Control de
Acceso)
Los gobiernos que deseen reducir costos y
papeleo pueden utilizar las tarjetas inteligentes para emitir
carnets de conducir, pasaportes y visas. Las smart cards pueden
programarse para permitir el acceso a edificios o datos,
dependiendo del cargo y del nivel de
autorización.
- Débito-Crédito
En muchos países, las versiones para cinta
magnética de éstas aplicaciones residen
conjuntamente con las tarjetas inteligentes, pero las nuevas
normas EMV (EuroPay, MasterCard y Visa) implican que los
adquirientes deben actualizar sus redes, tarjetas y terminales
con fecha límite en 2005. EMV establece el uso de las
tarjetas inteligentes en sustitución de las tarjetas de
banda magnética.
El sistema del monedero electrónico opera con
tarjetas inteligentes que tiene un microchip, éste, al
hacer contacto con los lectores de los dispositivos que, para
tal fin, tienen instalados los establecimientos comerciales,
realiza las transferencias del dinero contenido en la
tarjeta.
El microchip está programado para funcionar
como una microcomputadora electrónica que lleva a cabo procesos de
pagos sólo con insertar la tarjeta inteligente en el
lector para tarjetas, además, tiene programado un
código de seguridad que permite que las transferencias
se realicen bajo complejos sistemas de seguridad, tanto para el
establecimiento como para el usuario, ya que todo esto
proporciona que ésta se utilice de manera personalizada
y segura.
Las empresas que utilizan la tecnología de las
tarjetas inteligentes como una alternativa al manejo de dinero
en efectivo son cada día más. Ello debido a que
el monedero electrónico es fácil de usar y ofrece
grandes beneficios.
La seguridad de éste sistema de pago se basa en
dos elementos básicos en el sistema de las tarjetas
inteligentes: el hardware del chip de la tarjeta y el software
que controla los movimientos del valor de las tarjetas, es
decir, el dinero que tienen guardado.
El chip inteligente ha sido diseñado
específicamente para proteger los datos de las
operaciones no autorizadas y modificadas. Continuamente se
actualizan sus sofisticadas técnicas de seguridad,
utilizando para ello el creciente poder de la
tecnología. Cada transacción tiene datos
únicos de identificación; asimismo, cada tarjeta
contiene una clave y una secuencia para cada operación.
Estas claves previenen potencialmente a los Usuarios de que se
haga un uso ilícito de las tarjetas, o que se dupliquen
las operaciones al realizar dos veces la descarga del
dinero.
El monedero electrónico ofrece los beneficios
de hacer pagos con tarjetas, aunque con una nueva modalidad en
tanto realiza transacciones con el dinero propio que se tiene
guardado en la tarjeta. Las transacciones con el monedero
electrónico pueden ser más rápidas que las
realizadas con dinero en efectivo.
Este sistema es parecido a las tarjetas de
débito, pero el monedero electrónico permite a
los negocios
aceptar inmediata y directamente los pagos sin requerir
autorización, como si se tratara de dinero en efectivo.
Les permite también recibir el pago de
inmediato.
Los negocios que aceptan este sistema de pago, tienen
instalada una terminal lectora de tarjetas, donde se inserta el
monedero electrónico. Una pantalla en la terminal
despliega el importe total de la compra y muestra que la
operación de pago con la tarjeta se está
realizando. Tan pronto como se comprueba que el Usuario o
comprador tuvo suficiente efectivo en su tarjeta, la pantalla
de la terminal mostrará, en un parpadeo, que la
transacción está completada. El dinero exacto del
monto de la compra pasó de la tarjeta del Usuario, al
lector de la tarjeta instalado en la terminal del
negocio.
En cuanto a la seguridad para los establecimientos que
aceptan este sistema de pago, existe la posibilidad de asegurar
electrónicamente la terminal lectora de la tarjeta, de
forma que sólo personal autorizado pueda desactivar el
seguro
mediante una clave equivalente a un Número de
Identificación Personal (PIN). Esto permite pagar a los
empleados, o hacer un registro de ventas, por
ejemplo, adecuándose a las necesidades particulares de
cada negocio. Además, se puede saber cuánto
dinero tiene la terminal del establecimiento simplemente
presionando en la terminal la tecla marcada con la palabra
balance.
El monedero electrónico es un sistema que
principalmente ofrece seguridad y comodidad en el manejo del
dinero. El Usuario que cuente con un monedero
electrónico tiene la seguridad de no cargar dinero en
efectivo, la comodidad de no recibir cambio y evitar las
monedas en el bolsillo. Para los negocios significa un pago con
tarjeta que puede ser inmediatamente aceptado sin el costo que
representa verificar fondos o disponibilidad de la tarjeta. En
ventas nocturnas, gasolineras, bares, restaurantes y aquellos
establecimientos que necesitan un sistema de alta seguridad(
que actualmente son la mayoría), les evita los
inconvenientes de tener efectivo guardado y posteriormente
poner en riesgo al
personal que lo llevará al banco. Los
Usuarios de esta sofisticación monetaria
electrónica no traen consigo dinero en efectivo, por el
contrario, cargan una llave de seguridad que se previene a
sí misma de ser utilizada sin autorización. Esto
les permite a los propietarios hacer compras de manera segura y
sin excederse de sus propios límites.
El monedero electrónico es un sistema de pago
internacional con el que cualquiera puede hacer compras en sus
viajes o
transferir dinero entre diferentes países. Lo mismo
funciona en una tienda de chocolates que en un gran almacén
especializado en artículos de lujo. El dueño de
la tarjeta, elige su clave personal y la puede cambiar cuando
lo desee. Técnicamente no es posible sobrepasar un
límite del monto de efectivo que podría ser
amparado y transferido por el monedero electrónico, pero
cada país tiene diferentes lineamientos y políticas al respecto.
Las tarjetas inteligentes presentan un coste por
transacción que es menor que el de las tarjetas
magnéticas convencionales. Esto es incluyendo los costes
de la tarjeta, de las infraestructuras necesarias y de los
elementos para realizar las transacciones.
Ofrecen prestaciones
muy superiores a las de una tarjeta magnética
tradicional. Esta ventaja se explica por las configuraciones
múltiples que puede tener, lo que permite utilizarla en
distintas aplicaciones.
Permiten realizar transacciones en entornos de
comunicaciones móviles, en entornos de prepago y en
nuevos entornos de comunicaciones. A estos entornos no puede
acceder la tarjeta tradicional.
Las mejoras en seguridad y funcionamiento permiten
reducir los riesgos y
costes del usuario.
Nuevos servicios y aplicaciones están
surgiendo, y necesitan de esta tecnología, para los
cuales las tarjetas de banda magnética no pueden brindar
soluciones.
Las tarjetas inteligentes son elementos que sin lugar
a dudas, se convertirán en un algo cotidiano en nuestras
vidas.
La incursión de esta tarjeta en el continente
europeo es cada día más grande. La tarjeta
inteligente esta ganando terreno día a día sobre
todo en Francia. En los Estados Unidos aún existe cierta
resistencia pero poco a poco esta ganando aceptación. No
seria extraño pensar que en nuestro país,
comiencen a aparecer nuevas aplicaciones y/o servicios, en los
que la tarjeta inteligente se torne un elemento fundamental
(como sucedió con las tarjetas telefónicas de
Antel).
En un futuro próximo tal vez las computadoras
de escritorio cuenten con un lector de tarjetas inteligentes
integrado, al igual que hoy en día los ordenadores
personales cuentan con una disquetera y con un lector de
CDs.
– GUTHERY Scott B., JURGENSEN Timothy M., 1998.
"Smart Card Developer’s Kit". 2da.ed. Estados Unidos de
America: Macmillan Technical Publishing.
– Hendry Mike. 1997. "Smart Card Security and
Applications". Londres: Artech House Publishers.
– Sandoval Juan D., Brito Ricardo, Mayor Juan C.,
1999. "Tarjetas Inteligentes". España: Thomson Publishing
Company.
- Schlumberger Test &
Transactions. 2002. "MITOS Y
REALIDADES SOBRE LAS TARJETAS INTELIGENTES SMART CARDS".
[online]. Disponible en Internet :
<http://www.amiti.org.mx/biblioteca/Mitos%20y%20realidades%20sobre%20las%20tarjetas%20inteligentes%20Smart%20Card.pdf
>
- SchlumbergerSema. 2001. "Tendencia Anual del Mercado
de Tarjetas Inteligentes". [online]. Disponible en Internet:
<http://www.sema.es/news/pdf/Annual_SmartCard_Trends.pdf
> - Universidad de Murcia. 2000. Sistema de Control de
Acceso en Aulas Basado
en Tarjetas Inteligentes. [online]. Disponible en
Internet: <http://www.um.es/si/ssl/docs/umgesv01.pdf
> - Universidad de Murcia y la Universidad
Politécnica de Cartagena. 2000. Tarjetas de la
Universidad. [online]. Disponible en
Internet:
<http://www.vdigitalrm.com/cajamurc.htm>
- Universidad Politécnica de Madrid.
2001. Tarjetas Inteligentes. [online]. Disponible en Internet:
<http://www.4b.es/CHIP.HTM>
DIEGO MEDAGLIA
LICENCIADO EN ANALISIS DE SISTEMAS
Universidad ORT Uruguay
Facultad de Ingeniería