Interoperabilidade de cartões inteligentes
-
Upload
miguel-pardal -
Category
Technology
-
view
230 -
download
0
Transcript of Interoperabilidade de cartões inteligentes
Interoperabilidade de cartões inteligentes
Tópicos Avançados emSistemas de Informação
Miguel Filipe Leitão Pardal ([email protected])
16 de Julho de 2004
2004-07-16 Interoperabilidade de cartões inteligentes 2
Sumário
• Motivação
• Tecnologia
• Normas de interoperabilidade
• Casos
• Avaliação
• Conclusões
2004-07-16 Interoperabilidade de cartões inteligentes 3
Sumário
• Motivação
• Tecnologia
• Normas de interoperabilidade
• Casos
• Avaliação
• Conclusões
2004-07-16 Interoperabilidade de cartões inteligentes 4
Motivação
• Serviços baseados em cartões inteligentes– Com valor associado– Numa escala alargada
• O objectivo foi analisar normas de interoperabilidade, comparando aspectos técnicos e organizacionais
2004-07-16 Interoperabilidade de cartões inteligentes 5
Sumário
• Motivação
• Tecnologia
• Normas de interoperabilidade
• Casos
• Avaliação
• Conclusões
2004-07-16 Interoperabilidade de cartões inteligentes 6
Cartão inteligenteSmart Card
• Computador em forma de cartão– Circuitos electrónicos embebidos no plástico
• “Inteligência”– Microprocessador executa programas
• Segurança– Controlo acesso à memória
– Implementa algoritmos criptográficos• Possibilita validações em off-line
– Protecções elevadas, mas cartão não é inviolável!
2004-07-16 Interoperabilidade de cartões inteligentes 7
Arquitectura de um cartão
• Semelhante à de qualquer computador digital, mas com requisitos específicos– Alta resistência física
– Baixo custo de produção
• Características típicas:– Processador 8 bit
– Memória volátil 1K, persistente 16K
– Comunicação com / sem contactos
• Capacidades actuais comparáveis a PC de 1980
2004-07-16 Interoperabilidade de cartões inteligentes 8
O cartão no acesso a serviços
• Representa o utilizador, permitindo– Identificar e autenticar– Autorizar o acesso
• Exemplos: banca, transportes
2004-07-16 Interoperabilidade de cartões inteligentes 9
Interoperabilidade de serviços
• Quando os sistemas colaboram nas funcionalidades necessárias à prestação de um serviço, de forma transparente para o utilizador final
• Sem interoperabilidade– 1 cartão, 1 serviço– Emissor de cartões, prestador e infra-estrutura dedicada
• Com interoperabilidade– 1 cartão, N serviços– Criação de novo valor– São necessárias normas e confiança– Construir “pontes” ao nível técnico e de negócio
2004-07-16 Interoperabilidade de cartões inteligentes 10
Sumário
• Motivação
• Tecnologia
• Normas de interoperabilidade
• Casos
• Avaliação
• Conclusões
2004-07-16 Interoperabilidade de cartões inteligentes 11
Normas de interoperabilidade
• Iniciativas governamentais e de indústria, com poder de decisão e investimento– Norma Europeia OSCIE– Norma Norte-Americana GSC-IS– Norma Japonesa NICSS
• Processo de análise das normas– Documentos oficiais– Pesquisa temática– Enquadramento organizacional– Resumo da abordagem à interoperabilidade
2004-07-16 Interoperabilidade de cartões inteligentes 12
Norma Europeia OSCIE
• ‘Open Smart Card Infrastructure for Europe’– Patrocinada pela Comissão Europeia e pela Eurosmart
• Proposta abrangente– Requisitos sociais e legais
– Arquitectura global
– Modelo de negócio
• e-Government …
• Interoperabilidade da segurança …
2004-07-16 Interoperabilidade de cartões inteligentes 15
Abordagens à interoperabilidade
• Uniformização– Eliminar diferenças técnicas entre componentes
• Adaptação– Ajustar interfaces, políticas de utilização e de segurança
2004-07-16 Interoperabilidade de cartões inteligentes 16
Norma Norte-AmericanaGSC-IS
• ‘Government Smart Card Interoperability Standard’
• Portabilidade de aplicações com cartões
• Interoperabilidade técnica– Interface de programação
– Conjunto de mensagens para o cartão
– Contentores genéricos de dados
• Requisitos obrigatórios para fornecedores– Interface de extensão deixa margem de diferenciação e competição
– Limita o custo de portar aplicações, mas não o elimina totalmente
2004-07-16 Interoperabilidade de cartões inteligentes 18
Norma Japonesa NICSS• ‘Next generation Integrated circuit Card System Study’
• Proposta de consórcio de indústria, apoiado pelo governo
• Apoiar o desenvolvimento de sistemas de cartões com infra-estruturas sociais e de informação
• Plataforma comum
• Famílias de cartões– Para grandes áreas de negócio
– Soluções mais simples
– Redução de custos
2004-07-16 Interoperabilidade de cartões inteligentes 19
Interfaces e aplicações
• Interfaces de interoperabilidade– Para cartão e restantes componentes da plataforma
– Tornar os cartões compatíveis e os equipamentos mais baratos
• Principal aplicação– Cartão de identificação pública
– Sistema aberto a novas aplicações, desde que aprovadas pelas autoridades públicas
2004-07-16 Interoperabilidade de cartões inteligentes 21
Sumário
• Motivação
• Tecnologia
• Normas de interoperabilidade
• Casos
• Avaliação
• Conclusões
2004-07-16 Interoperabilidade de cartões inteligentes 22
Smart ID Hong Kong
• Cartão de identidade pública• Iniciativa governamental
– Tornar os cartões o meio de acesso privilegiado aos serviços da administração pública
• Plataforma fechada– Apenas aplicações do governo
• Certificado digital opcional– Para autenticação e assinatura digital em transacções de
comércio electrónico
2004-07-16 Interoperabilidade de cartões inteligentes 23
Octopus Hong Kong
• Pequenos pagamentos– Inicialmente apenas cartão de transportes
• Aplicação de grande volume– Utilização massificada, com milhões de utilizadores
• Interoperabilidade pouco interessante– Solução proprietária
2004-07-16 Interoperabilidade de cartões inteligentes 24
Sistema de transportes de Lisboa
• Transportes com vários tipos e operadores– Metropolitano, Autocarro, Comboio, Barco
• Norma Calypso– Interacções entre cartões e terminais
• Interoperabilidade na ligação dos sistemas embarcados e nos sistemas de back-office– Representação comum dos títulos de transporte
– Equipamentos terminais (validadores, pontos de venda) independentes das aplicações e do modelo de dados
2004-07-16 Interoperabilidade de cartões inteligentes 25
Sumário
• Motivação
• Tecnologia
• Normas de interoperabilidade
• Casos
• Avaliação
• Conclusões
2004-07-16 Interoperabilidade de cartões inteligentes 26
Avaliação das normas
• Âmbitos complementares• Cartão autenticador para comércio electrónico• Criptografia assimétrica e PKI• A interoperabilidade não é só técnica
– Dados e processos de negócio
• Riscos de normas não prescritivas– Interfaces de interoperabilidade difíceis de implementar
– Limitações impostas por mapeamento incompleto de políticas de segurança
2004-07-16 Interoperabilidade de cartões inteligentes 27
Avaliação da interoperabilidade• Definição
– “Quando os sistemas colaboram na prestação do serviço de forma transparente”
– ‘Sistema’ e ‘serviço’ com interpretações distintas
• Diferentes níveis de interoperabilidade– Aplicacional e negócio
• Alinhamento semântico das entidades informacionais• Definição da política comum de segurança
– Tecnológico• Modelo de dados comum• Interfaces funcionais normalizadas• Modularização da arquitectura
2004-07-16 Interoperabilidade de cartões inteligentes 28
Avaliação da utilização de cartões (1)
• Cartão e-Government– Serviços genéricos para identificação, autenticação
forte e assinatura digital sem repúdio (IAS)
– Confiança baseada em infra-estruturas de chaves públicas (PKI)
– Exemplo: Smart ID de Hong Kong
• Falta garantir qualidade e independência dos serviços IAS para permitir a sua aceitação generalizada
2004-07-16 Interoperabilidade de cartões inteligentes 29
Avaliação da utilização de cartões (2)
• Cartões de utilização rápida e conveniente– Substitutos de dinheiro de bolso– Exemplos:
• Octopus de Hong Kong• Sistema de transportes de Lisboa
– Maior velocidade de interacção (transacção)– Menores valores envolvidos
• Arquitectura distribuída e sem ligação permanente a sistemas centrais
• Cartões mais baratos, com protecções inferiores
2004-07-16 Interoperabilidade de cartões inteligentes 30
Avaliação da utilização de cartões (3)
• Será que um cartão único pode satisfazer todas as necessidades?– Dificuldades na protecção de dados pessoais
• Legislação
– Solução de chaves diferentes para utilizações diferentes• A quem confiar as chaves mestras?
– Solução de cartões diferenciados• Cartão principal, quando se pretende mais segurança• Cartão vulgar, quando se pretende mais rapidez e comodidade• Adequar o nível de protecção ao valor associado• Confiança decisiva no cartão principal
2004-07-16 Interoperabilidade de cartões inteligentes 31
Sumário
• Motivação
• Tecnologia
• Normas de interoperabilidade
• Casos
• Avaliação
• Conclusões
2004-07-16 Interoperabilidade de cartões inteligentes 32
Conclusões
• Cartão inteligente– Ligação utilizador-serviços
– Segurança acrescida
– Redução da manipulação de “papel” (materiais)
• Grande investimento mundial nesta tecnologia– Maturidade nos serviços especializados
– Apesar das iniciativas de normalização da interoperabilidade faltam casos da sua aplicação no mundo real
2004-07-16 Interoperabilidade de cartões inteligentes 33
Tópicos para investigação• Cartões diferenciados
– Como compatibilizar segurança forte com utilização expedita?
• Protótipo de interoperabilidade de funções IAS de segurança– Que problemas surgem devido aos graus de liberdade nas normas?
• Plataformas de múltiplos serviços integrados– Qual a abordagem para a sua implementação generalizada?
• Dar mais “inteligência” ao cartão (applets)• Apostar nos terminais e infra-estruturas
• Trocas de dados entre organizações sem confiança total– Como garantir confiança necessária e suficiente?
• Mecanismos de protecção dos dispositivos e isolamento de dados• Certificação de equipamentos e aplicações• Auditoria
2004-07-16 Interoperabilidade de cartões inteligentes 34
Perguntas e respostasPerguntas e respostas
Obrigado pela atençã[email protected]
““To be really useful all services must To be really useful all services must be easily accessed by be easily accessed by any any (…)(…) citizencitizen atat any timeany time, and in , and in any placeany place. The . The personalised tool to enable each personalised tool to enable each (…)(…) citizen to enjoycitizen to enjoy such access is their such access is their electronic Identity, their electronic Identity, their reliable key reliable key to e-servicesto e-services”.”.
Theo van SprundelTheo van Sprundel i inn OSCIE volume 3-5 OSCIE volume 3-5