View
108
Download
1
Category
Preview:
Citation preview
Design von Chipkartenanwendungen
Steffen Reschwamm
Andreas Knorre
Stefan Winkler
Metin Oduncu
Design von Chipkartenanwendungen
Übersicht:
Allgemeines zum Systemdesign
Chipkarten im Gesundheitssystem
Chipkarten an Hochschulen
Chipkarten in Mobilfunknetzen
Festlegung der Ziele einer Chipkarteneinführung
Umsatzsteigerungen
neue Produkte und Dienstleistungen
Zugangsregelungen
Rationalisierung administrativer Aufgaben
Ausgangssituationen
Entwurf eines völlig neuen Chipkartensystemes D1 D2, zuerst nur Standard nun weltweit
Chipkarte löst ein anderes Medium ab Bargeld -> Geldkarte
eine existierende Karte wird mit einem Chip versehen Visa plant eine chipbasierte Kreditkarte
Ausgangssituationen
Zusammenführen von Funktionen verschiedener Systeme Airplus + Telefonkarte C-Tel, d.h. C-Netz und Telefonkarte
Strategische Entscheidungen
Wichtige Entscheidungen, die große Auswirkungen auf die technische Realisierung, die rechtliche Auslegung und die Organisation des Systemes und die zukünftigen Entwicklungen, sollten möglichst früh getroffen werden.
Systempartner
Regelung der Aufgaben und Kompetenzen innerhalb des Projektes
Entsprechend dem Aufgabenanteil Finanzierungensanzeile
angemessen Präsentation der Partner in Form von Logos
Systemkomponenten und Funktionalität
Art und Notwendig der verarbeiteten Daten
daraus Funktionalität des Systems, also Standalone oder verteilte Datenhaltung
offline o. online VerarbeitungWahl der Systeme für die Datenhaltung
und der Übertragungsmedien
Wahl der Kartentechnik
Heterogenes oder homogenes Kartensystem
Magnetstreifen oder Chipkarten oder kombinierte Karte
Art der Kartenzugriffe, lesend oder schreibend
Anzahl der Applicationen auf der Karte
Kompatibilität zu anderen System
Welche Funktionen oder überhaupt sollen anderene Systemen zugänglich sein
Wenn Verarbeitung in anderen Systemen, dann vertragliche Regelungen treffen
Systemsicherung
sichere DatenbankSichere Übertragungskanäle und
EndgeräteIst es notwendig, die Echtheit der Karte
durch optische oder chemische Merkmale zu prüfen
Auswahl einer Pin
Datenschutz
Werden in einem System personenbezogene Daten verarbeitet, sind die gängigen Gesetze zum Datenschutz zu beachten
Es gilt der Perönlichkeitsschutz und das Persönlichkeitsrecht ö.s.ä.
technische Einrichtungen haben Mindeststandards zu erfüllen
Personenbezogene Daten
Werden personenbezogene Daten in einem System verarbeitet, dann: dürfen die Daten nicht anwendungsfremd
verarbeitet werden, auch wenn das System dies zu lassen würde ( z.B.Verhaltensauswertung )
darf die Person durch gespeicherte Daten nicht benachteiligt werden
Erweiterungs- möglichkeiten
Funktionalitätserweiterungen auf Karte oder im System
Alle Möglichkeiten auf einmal oder step by step -> möglicherweise Einführungen von Kartengenerationen ?
Noch einige Fakten
Vorurteil, CK-System seien teuer, Hauptkostenfaktor: Chip
aber wie üblich werden mit der Zeit die Technologiekosten sinken
Schecktransaktionen kosten im Schnitt 1.5USD
Kosten für Bargeldhandling in GB 800 mio. Einzelhandel und 2500 mio für Banken
Beispiel Kreditkartengesellschaft
Benötigt eine KK-Gesellschaft ein CK System ? Meisten Verluste durch mangelnde Bonität, -> Online Prüfung Chipkarten können bei Kartenfälschungen
helfen Prüfung: CK gerechtfertigt durch Reduzierung
von Verlusten durch falschen Karten und Onlinekosten?
Beispiel Kartentelefone
Kartentelefon: Rentabilitätsgrenze bei 10000 Geräten und 1000 Karten pro Gerät/Jahr
In Frankreich Verringerung von Vandalismusschäden an Kartentelefonen: von 45.000/1985 -> 5.000/1987 -> 500/1994
Verteilung von Daten
Die Entscheidung über die Verteilung von Daten auf Chipkarten oder Datenbanken hat großen Einfluß auf die Eigenschaften und Sicherheit des Gesamtsystems. Sie kann nicht pauschal erfolgen, sondern ist von Fall zu Fall unterschiedlich zu treffen.
Verteilung von Daten
Möglich ist: Die Chipkarte ist eine identifizierende Karte, nur eine Art
Ausweis gegenüber einem Hintergrundsystem, und enthält nur ein Datenelement zur Identifikation.
Die benötigten Daten sind alle auf der Karte gespeichert Eine Mischung aus beiden
Verteilung von Daten
Daten in der Datenbank (identifizierende Karte):
Der Karteninhaber hat keine Einflußmöglichkeit auf die Sicherheit des Gesamtsystems
Großes zentrales Hintergrundsystem mit Verbindung zu all seinen Terminals nötig
Einfache Erweiterbarkeit/Integration von/in vorhandene Systeme
Relativ einfacher Ersatz bei Verlust der Karte
Verteilung von Daten
Daten auf der Chipkarte: Die Sicherheit der Daten liegt in der Verantwortung des
Karteninhabers (Gefahr bei Verlust) Dezentrales System mit kleineren Terminals möglich, die
nicht vernetzt sein müssen Die Benutzung des Systems kann anonym geschehen Größerer Aufwand bei der Erweiterung der Funktionalität /
Ersatz einer Karte
Chipkartenanwendungen
Chipkarten im Gesundheitssystem
Chipkarten im Gesundheitssystem
Der Gesetzgeber unterscheidet: Gesetzliche Krankenversichertenkarten
Dienen als Versicherungsnachweis gegenüber dem Arzt
Maschinenlesbarer Datenträger
Freiwillige GesundheitskartenZur Speicherung von Patientendaten wie
Röntgenbilder, Blutwerte, ...
Die Krankenversichertenkarte
Merkmale: Sehr große Verbreitung Reine Speicherkarte Erweiterbar für zukünftige Entwicklungen
Planung und Realisierung
Ursprüngliche Planung: Magnetstreifenkarte
Patientenspezifische Daten auf der Karte wie Blutgruppe
oder bestehende Allergien Dadurch Karte auch als Notfallausweis verwendbar
Planung und Realisierung
Realisierung: Wegen der besseren Erweiterbarkeit Chipkarte statt
Magnetkarte Keine dem Versicherten unbekannte Informationen auf
der Karte Keine Möglichkeit, unautorisiert weitere Daten zu
schreiben Nur folgende personenbezogene Informationen:
Informationen auf der Karte
Datenelement Länge in Byte nur im ChipBundesland 1 – 3 XTitel des Versicherten 2 – 15 XVorname des Versicherten 1 – 28Familienname des Versicherten 2 – 28Geburtsdatum des Versicherten (TTMMJJJJ) 8 XNamenszusatz des Versicherten 1 – 15 XNummer des Versicherten 6 – 12Straßenname und Hausnummer 2 – 28 XOrtsname 2 – 22 XPostleitzahl 4 – 7 XGültigkeitsdatum der Karte (MMJJ) 4Name der Krankenkasse 2 – 28Nummer der Krankenkasse 7Prüfsumme (XOR) über das gesamte Template 1 XRechtskreis Ost/West 1 XStatus des Versicherten 4Template der Versichertendaten 70 – 212 XVersichertenkartennummer 5 X
Sicherheit
Sicherheiten der Karte: Arztpraxen und Krankenkassen haben nur lesenden
Zugriff Nur spezielle Verwaltungsterminals der Kassen können
schreibend zugreifen Kontrollmöglichkeit anhand der auf den Kartenkörper
aufgedruckten Daten Sonst keinerlei Sicherheitseinrichtungen
Freiwillige Gesundheitskarten
Einsatzmöglichkeiten: Karte zur Speicherung von allgemeinen
Gesundheitsdaten, die an möglichst viele Patienten ausgegeben wird
Karte für Patienten, die an einer bestimmten Krankheit leiden (z. B. Dialyse-Card, Diab-Card, Krebsnachsorgekarte, ...)
Freiwillige Gesundheitskarten
Die Datenschutzbeauftragten des Bundes und der Länder erkennen eine besondere Schutzwürdigkeit medizinischer Daten und sehen folgende Probleme:
Sozialer Druck auf die Versicherten, die Karte mitzuführen und vorzuzeigen
Gefahr einer pauschalen Offenbarung von medizinischen Daten
Der Patient muß für die Sicherheit seiner medizinischen Daten selbst sorgen
Bedingungen des Datenschutzes
Voraussetzung für die Zulassung: Die freiwillige Gesundheitskarte darf nicht die gesetzliche
Krankenversichertenkarte verdrängen oder ersetzen Die Zuteilung einer Gesundheitskarte und die Speicherung
von Daten bedarf der schriftlichen Einwilligung Keine zentralen medizinischen Datensammlungen
Bedingungen des Datenschutzes
Der Patient muß frei entscheiden können, ob Daten auf einer Chipkarte gespeichert werden welche der Gesundheitsdaten auf die Karte aufgenommen
werden welche Daten auf der Karte wieder gelöscht werden ob die Karte bei einem Arztbesuch bzw. einem
Apothekenbesuch vorgelegt wird welche Daten im Einzelfall zugänglich gemacht werden
Bedingungen des Datenschutzes
Die Freiheit der Entscheidung bedeutet insbesondere: Verweigert der Versicherte die Benutzung der Karte
dürfen keine Nachteile entstehen
Die Versicherungen dürfen keinerlei finanzielle Anreize, Bonuspunkte oder sonstige Vergünstigungen gewähren
Die Versicherungen dürfen keinerlei Leistungen verweigern oder auch nur erschweren
Bedingungen des Datenschutzes
Integrität und Authentizität der Daten muß gewährleistet werden: Protokollierung der Lösch- und Schreibvorgänge auf der
Karte Verwendung von kryptologischen Verfahren sowie
geeigneten Betriebssystemen zur Abschottung unterschiedlicher Anwendungsbereiche
Bei der Gesundheits-Chipkarte, wie auch im Gesamtsystem muß der gleiche hohe Sicherheitsstandard erreicht werden
Charakteristik
Gesetzliche Krankenversichertenkarte: Weist den Patienten gegenüber dem Arzt aus Ersatz bei Verlust ist problemlos Benutzung ist nicht anonym möglich
aber: Kein großes Hintergrundsystem nötig!
Charakteristik
Freiwillige Gesundheitskarte: Sicherheit der Daten liegt in der Hand des
Patienten Problematisch bei Ersatz der Karte Zumindest theoretisch auch anonym
benutzbar Problematisch bei der
Speicherung/Abschottung verschiedenartiger Daten
Studentenkarten
Uni BochumUni Trier
Vorgestellt an zwei Beispielen:
Uni Bochum( Pilotprojekt für Nordrhein-Westfalen)
Uni Bochum( Pilotprojekt für Nordrhein-Westfalen)
Auf der Karte gespeichert werden:Auf der Karte gespeichert werden:
Gültigkeit & Studierendenstatus
Matrikelnummer
Name, Vorname und Geburtsdatum
Adresse
Hochschulsemester, Studiengänge & Fächer
Netzzugang ( ID & Passwort )
Bibliotheksstatus
Wertmarkenzähler ( in separatem „dedicated file“)
Signaturinformation (RSA-Schlüsselpaar, 768 bit,CRT)
relevante Teile des Zertifikats
Uni Bochum( Pilotprojekt für Nordrhein-Westfalen)
Nicht auf der Karte gespeichert werden:Nicht auf der Karte gespeichert werden:
Abschlüsse und NotenAbschlüsse und Noten
Ausleihstatus beinhaltet nur, ob Belastungen existierenAusleihstatus beinhaltet nur, ob Belastungen existieren
( z.B. Ausleihen ), nicht aber welcher Art diese sind!( z.B. Ausleihen ), nicht aber welcher Art diese sind!
Uni Bochum( Pilotprojekt für Nordrhein-Westfalen)
Eingesetzte Sicherheitsmechanismen:Eingesetzte Sicherheitsmechanismen:
Trennung der Studierendendaten von den GeldbörsendatenTrennung der Studierendendaten von den Geldbörsendaten
gegenseitige Authentisierung von Terminal und Kartegegenseitige Authentisierung von Terminal und Karte
Absicherung durch 3DESAbsicherung durch 3DES
verschlüsselte Übertragungverschlüsselte Übertragung
Session KeysSession Keys
abgeleitete Schlüsselabgeleitete Schlüssel
Uni Trier
Vorderseite:
Rückseite:
Uni Trier
Grundsatzentscheidung zwischen:Grundsatzentscheidung zwischen:
hochschuleigener Kartehochschuleigener Karte
undund
kontoungebundener Geldkartekontoungebundener Geldkarte
Aus Kosten/Nutzenbetrachtung Entscheidung für „kontoungebundene Geldkarte“ , ohne Aus Kosten/Nutzenbetrachtung Entscheidung für „kontoungebundene Geldkarte“ , ohne die Funktionalität der Zusatzanwendungen zu reduzieren.die Funktionalität der Zusatzanwendungen zu reduzieren.
Weitere Vorteile durch Nutzung der Geldkartenfunktionalität auch ausserhalb der Weitere Vorteile durch Nutzung der Geldkartenfunktionalität auch ausserhalb der Hochschule.Hochschule.
Erstmalige Benutzung eines Thermo-Chrome-Streifens auf einer kontoungebundenen Erstmalige Benutzung eines Thermo-Chrome-Streifens auf einer kontoungebundenen Geldkarte.Geldkarte.
Entscheidung über die Kartenart
Uni Trier
Überlegungen zur Kartensicherheit
Auf dem Chip selbst befindet sich nur ein einziges personenbezogenes Datenfeld mit der Matrikelnummer In Verbindung mit einer fünfstelligen-PIN-Nummer, die der Studierende selbst vergeben und jederzeit ändern kann, wird sichergestellt, daß alle administrativen Anwendungen nur von dem berechtigten Studierenden durchgeführt werden können Von den Studierenden vergessene PIN-Nummern können von der Hochschulverwaltung nicht ausgelesen werden Die PIN kann jedoch auf einen allgemeinen Wert zurückgesetzt werden, so dass der Studierende dann wieder eine neue Geheimnummer vergeben kann Jeder Studierende muss sich bei der erstmaligen Nutzung der Karte an einem SB-Terminal mit seinem Geburtsdatum "identifizieren“, erst wenn dies richtig eingegeben wurde, ist eine PIN – Vergabe möglich. Bei dreimaliger Falscheingabe von Geburtsdatum oder PIN wird die Karte gesperrt Absegnung des Gesamtprojekts durch den Datenschutzbeauftragten des Landes Rheinland-Pfalz und den Datenschutzbeauftragten der Universität
Uni Trier
AusweisfunktionAusweisfunktion (realisiert)(realisiert)
Benutzung des ÖPNVBenutzung des ÖPNV (realisiert)(realisiert)
Schnittstelle BibliotheksfunktionSchnittstelle Bibliotheksfunktion (realisiert)(realisiert)
RückmeldefunktionRückmeldefunktion (realisiert)(realisiert)
AdressänderungAdressänderung (realisiert)(realisiert)
Ausdruck von BescheinigungenAusdruck von Bescheinigungen (realisiert)(realisiert)
Abfrage von KlausurergebnissenAbfrage von Klausurergebnissen
Anmeldung zu KlausurenAnmeldung zu Klausuren
Zugang zu Rechnern, Zutritt zu RäumenZugang zu Rechnern, Zutritt zu Räumen
Durchführung von HochschulwahlenDurchführung von Hochschulwahlen
Ausleihe SprachlaborAusleihe Sprachlabor
Anwendungen für BediensteteAnwendungen für Bedienstete
Anwendungen
Uni Trier
alle Geschäfte außerhalb der Universität (bundesweit) (realisiert)(realisiert)
Kosten für Kopierer, Laserdrucker (realisiert)(realisiert)
Mensa und Cafeterien (realisiert)(realisiert)
Sozial- und Studierendenschaftsbeitrag (realisiert)(realisiert)
Benutzungsgebühren Hochschulsport (realisiert)(realisiert)
Säumnis- und Fernleihgebühren (realisiert)(realisiert)
Verkauf von Scripten, Unterrichtsmaterialien
Einsatz der kontoungebundenen Geldkarte als Telefonkarte
Zahlungsfunktionen
Uni Trier
überstürzte Planung und Realisierung ( um Zuschuss zu erhalten )
Angst vor Anwendungen, die später dazukommen könnten...
Kosten würden fast ausschliesslich von den Studierenden getragen, den Nutzen haben jedoch vorrangig Verwaltung und Studentenwerk
Freiwilligkeit ist nicht gegeben
Zu grosse Kontrollmöglichkeiten über die Studierenden
Nutzungs- und Bewegungsprofile könnten erstellt werden
wer Karte verliert, kann zunächst nicht mehr am Uni-Leben teilnehmen
Bedenken der ASTA
Chipkarten im GSM-Netz
GSM-Netz (Global System for Mobile Communication)
SIM (Subscriber Identification Module)
Datenschutz und Datensicherheit im Mobilfunk
GSM
Ursprünglich: Europäischer Standard für Mobil-telefone Anschluß an diesen Standard von immer mehr
Ländern weltweit (heute: über 110 Länder) Spezifikation begann 1982 und wurde dann bei ETSI
(Telecommunications Standards Institute) weitergeführt 11.11
Spezifikation der Chipkarte für GSM begann 1988 in der SIMEG (Subscriber Identication Module Expert Group)
GSM
Das GSM-Netz ist ein im 900 MHz (D1, D2) und 1800 MHz (E+) arbeitendes, digitales Mobiltelefonnetz
Der Aufbau ist zellular D1, D2 : kreisrunde Zellen mit bis zu 30 KM Durchmesser Um ein Land der Größe von Deutschland (ca. 360000 km²)
vollständig zu versorgen, sind ca. 3000 sich überlappende Zellen nötig
E+: kreisrunde Zellen bis max. 20 KM Durchmesser, wegen geringerer Sendeleistung
GSM - Grundlegender Aufbau
Switching System
Authentication Center
Mobile Switching Center
Home LocationRegister
Visitor LocationRegister
Base Station Controller
Base Transceiver Station
Base Station System
Mobile Equipment
Subscriber Identity Module
Mobile Station
Telephone Network
SIM - Subscriber Identity Module
Chipkarte (Smart Card) im Mobiltelefon 2 verschiedene Kartenformen (ID1 - Plug In) Aufgabe: Zugang zum Netz nur berechtigten Personen gewähren,
um eine funktionsfähige Gebührenabrechnung zu schaffen Muß 2 Funktionen erfüllen können:
Daten speichern und den Zugang zu diesen Daten schützen Einen kryptographischen Algorithmus unter sicheren Bedingungen
ausführen SIM wird vom jeweiligen Netzbetreiber authentisiert
=> einseitig Authentisierung des SIMs durch das Hintergrundsystem
SIM
Daten auf der Luftschnittstelle werden verschlüsselt übertragen=> unbefugtes Abhören der Daten nicht möglich
SMs (Short Messages) können im SIM abgespeichert und wieder ausgelesen werden
Identifizierung des SIM mit einer im gesamten GSM-System einzigartigen Nummer, die max. 8 Byte lang ist = IMSI (International Mobile Subscriber Identity)
Weltweite Identifizierung des Teilnehmers in allen GSM-Netzen Wenn möglich wird eine TMSI (Temporary Mobile Subscriber
Identity) vergeben Aus IMSI werden die kartenindividuellen Schlüssel für Authenti-
sierung und Verschlüsselung abgeleitet
SIM
Die Verschlüsselung der Daten wird nicht auf der Karte gemacht, da Berechnungs- und Übertragungskapazität nicht ausreichen
SIM errechnet einen temporären und abgeleiteten Schlüssel, die an das Mobile Equipment (Mobil-Telefon) weitergegeben werden
ME kann eine Ver- und Entschlüsselung der Sprachdaten in Echtzeit vornehmen
Datensicherheit und Datenschutz
Kryptografische Funktionen des SIM im GSM-Netz:
SIM(Chipkarte)
Luftschnittstelle Hintergrundsystem
IMSI / TMSI
Zufallszahl (RND)
SR
Ki
RND SR
Ki
RND Kc
Ki
RND SR‘
Ki= ƒ(IMSI, TMSI)
SR=SR‘ ?
Nein
Teilnehmer nichtauthentisiert,Abbruch der Verbindung
Ja
Teilnehmer ist authentisiert
Datensicherheit und Datenschutz
Kryptografische Funktionen des SIM im GSM-Netz:
SIM(Chipkarte)
Luftschnittstelle Hintergrundsystem
MEMobile Equipment
Kc
Sprachdaten enc (Kc; Sprachdaten)
enc (Kc; Sprachdaten)
Kc
Vereinfachter Datei-Baum einer GSM-Karte:
Dateityp FID Struktur, Größe BeschreibungMF '3F00' ------------------ Wurzelverzeichnis
EFICCID '2FE' transparent, 10 Byte Identifikationsnr. der Chipkarte
DFTELECOM '7F10' ------------------ DF Telekom
EFADN '6F3A' linear fixed, x Byte Kurzrufnummern
EFFDN '6F3B' linear fixed, x Byte Festrufnummern
EFLND '6F44' cyclic, x Byte letzte gewählte Rufnummer
EFSMSS '6F43' linear fixed, x Byte Zustand der gesp. Kurzmitt.
EFSMSP '6F42' linear fixed, x Byte Einst. für die Kurzmitteilungen
EFSMS '6F3C' linear fixed, 176 Byte Kurzmitteilungen
DFGSM '7F20' ------------------
EFLP '6F05' transparent, x Byte Bevorzugte Sprache
EFKC '6F20' transparent, 9 Byte Schlüssel Kc
EFSPN '6F46' transparent, 17 Byte Service Provider Name
EFPUCT '6F41' transparent, 5 Byte Preis der Einheiten und Währung
EFSST '6F38' transparent, 4 Byte SIM service table
EFIMSI '6F07' transparent, 9 Byte IMSI
EFLOCI '6F7E' transparent, 11 Byte TMSI + Ortsinformation
EFPHASE '6FAE' transparent Phaseninformationen über GSM
Datensicherheit und Datenschutz
Risiken bei der Übertragung von Daten mittels mobiler Telekommunikations-Dienste:
Luftschnittstelle bietet keine physikalische Abschirmung vor Mithören und Aufzeichnen
Bei Verbindungsaufbau oder Erreichbarkeit, müssen die Kommuni-kationspartner geortet werden
Standortinformationen könnten vom Netzbetreiber, oder von Dritten zur Bildung von sog. Bewegungsprofilen mißbraucht werden
Durch die digitale Übertragung und Verschlüsselung in GSM-Netzen ist ein Abhören der Gespräche nicht einfach, aber prinzipiell möglich, da der Schutz hier auf Geheimhaltung der Verschlüsselungsalgorithmen beruht.
Recommended