Descargar

Tarjetas Inteligentes

Enviado por dmedaglia

    Entregado como requisito para la obtención del título de Licenciado en Análisis de Sistemas de Información

    2. Abstract
    4. Banda magnética vs. Tarjeta inteligente
    5. ¿Qué es una tarjeta inteligente?
    6. Estandares
    7. Sistema operativo y estructura de ficheros
    8. Seguridad
    9. Usos de las tarjetas inteligentes
    10. Conclusiones
    11. Bibliografía

    ABSTRACT

    Este artículo está escrito para todas aquellas personas que deseen acercarse al mundo de las tarjetas inteligentes, conocer sus características, su funcionamiento y aplicaciones.

    Las tarjetas inteligentes son dispositivos con las características físicas de las tarjetas de crédito, con un microprocesador incrustado que controla el acceso a la información que contiene.

    Las tarjetas inteligentes son actualmente utilizadas para almacenar información de cualquier tipo, en cualquier mercado (banca, salud, estado, etc.), para control de acceso y seguridad (por su capacidad de encriptamiento, manejo de claves públicas y privadas, etc.), para pago electrónico (monederos electrónicos), planes de lealtad, y más.

    En el capítulo 1 se hace una breve introducción sobre lo que son las tarjetas inteligentes y para que se utilizan.

    En el capitulo 2 se explica como surgen las tarjetas inteligentes y para ello se contraponen con las tarjetas de banda magnética.

    En el capitulo 3 se describen las diferentes clases de tarjetas inteligentes existentes, y los dispositivos que permiten acceder a ellas.

    En el capitulo 4 se habla sobre el estándar ISO 7816 que es el que rige las normas de fabricación de las smart cards.

    En el capitulo 5 se describe el sistema operativo y la estructura de ficheros que la tarjeta utiliza.

    En el capitulo 6 se describen algunas técnicas criptográficas usadas en la actualidad, las cuales son aprovechadas por las tarjetas inteligentes.

    En el capitulo 7 se habla sobre las aplicaciones que se les da a las tarjetas inteligentes y se profundiza sobre el dinero electrónico.

    Introducción

    Debido a la avanzada tecnología que se presenta en el mundo se hace necesario que constantemente se éste en evolución y aprovechando las ventajas que está nos ofrece, en cualquiera de los servicios donde se aplique. Esta posee la necesidad del manejo de la información en forma oportuna, rápida y sin limites de papeleos o demoras para su consecución, por esto se hace necesario el conocimiento general de la tecnología de tarjetas inteligentes por parte de la comunidad para su uso masivo.

    Hasta ahora, la banda magnética de las tarjetas de crédito y de débito, ha sido la tecnología dominante en el mercado; sin embargo, en ellas sólo se puede almacenar una pequeña cantidad de información, de modo que la gran mayoría de los datos personales y de las operaciones de la tarjeta magnética, residen en servidores centrales de la compañía que las emite.

    Con una tarjeta inteligente, toda la información necesaria para las transacciones está alojada en el microprocesador insertivo, lo que significa que el tráfico de información es mucho menor con respecto al de las tarjetas de banda magnética, incrementándose así el nivel de seguridad de las operaciones.

    Con las tarjetas inteligentes se puede operar desde un simple control de acceso del personal a una empresa o escuela, hasta complejas combinaciones que pueden incluir la información personal del usuario, su historial clínico y algún sistema de cliente frecuente, incluyendo servicios financieros como monedero electrónico o tarjetas de débito y de crédito.

    Las tarjetas inteligentes cada vez son más utilizadas. Los niveles de seguridad y la capacidad de almacenamiento que manejan, han llevado a los bancos y a otras Instituciones Financieras a reemplazar poco a poco sus tarjetas convencionales de banda magnética por tarjetas de chip. La posibilidad de almacenar y procesar información en este sofisticado y diminuto mecanismo, facilita la realización de procesos y permite administrar la información de mejor manera.

    Banda magnética vs. tarjeta inteligente

    TARJETAS MAGNÉTICAS CONVENCIONALES

    La tarjeta magnética convencional se desarrolló a finales de los 60 para satisfacer varias necesidades. Una de ellas es permitir a los clientes de los bancos y entidades de ahorro activar y operar de forma rápida y efectiva con los cajeros automáticos. También, para proporcionar un medio con el que operar en puntos de venta específicos.

    El objetivo de esta tarjeta es identificar a un cliente para acceder a una base de datos remota con la que se establece una conexión. La información que posee la base de datos permite aceptar o rechazar esa transacción.

    En la actualidad, la utilización de la tarjeta magnética se ha generalizado de tal forma que, al año, se producen y utilizan una media de 1400 millones de tarjetas magnéticas en el mundo.

    Las tarjetas magnéticas han producido importantes resultados en el mercado financiero pero no ofrecen soluciones para los nuevos mercados y servicios que aparecen: televisión interactiva, telefonía digital, etc.

    El problema se debe a que las tarjetas magnéticas actuales se han utilizado para dar solución a problemas que aparecieron hace 25 años y están ligados a esas tecnologías: dependencias de ordenadores centrales y grandes redes dedicadas, a diferencia de los sistemas distribuidos actuales y de las nuevas soluciones. Además, la tarjeta magnética ofrece muy baja densidad de datos, baja fiabilidad y poca o ninguna seguridad en la información que lleva.

    TARJETAS INTELIGENTES

    La tarjeta inteligente surge ante nuevas necesidades del mercado, las cuales no pueden ser satisfechas por la tarjeta de banda magnética.

    Esta tecnología tiene su origen en la década del 70 cuando inventores de Alemania, Japón y Francia inscribieron las patentes originales. Debido a varios factores que se presentaron, y de los cuales la inmadura tecnología de semiconductores tuvo un mayor peso, muchos trabajos sobre tarjetas inteligentes (smart cards) estuvieron en investigación y desarrollo hasta la primera mitad de los años ochenta.

     COMPARACIÓN

    La tecnología que está más extendida en la actualidad es la basada en banda magnética. Prácticamente todo el mundo dispone de alguna tarjeta, normalmente de uso financiero, que en su parte posterior tiene una banda de color marrón oscuro. Esta banda magnética es similar a un pedazo de cinta magnética de una cassette musical. Su misión es almacenar cierta información, como el nombre del titular, el número de su cuenta, el tipo de tarjeta y el PIN (Personal Identification Number). Básicamente se puede decir que identifica al usuario con la máquina con la que se pone en contacto (ATM, TPV…), y está máquina o dispositivo, sola en ciertas operaciones, o conectándose on-line con otros dispositivos en otras, gestiona una serie de operaciones y guarda cierta información de cada transacción.

    Hasta el punto mencionado la tecnología chip aporta prácticamente lo mismo que la banda magnética.

    Sin embargo hay al menos tres campos en los que la potencialidad implícita en el chip da a esta última tecnología una clara ventaja de cara al futuro.

    1. SEGURIDAD

    2. El contenido de la banda magnética, por la tecnología que implica, puede ser leído y, aunque no es sencillo, puede ser manipulado por personas con conocimiento y medios adecuados. El chip, sin embargo, contiene una tecnología interna mucho más sofisticada que hace que las posibilidades de manipulación física se reduzcan de forma muy sensible. Además, por su capacidad interna, es capaz de soportar procesos criptográficos muy complejos (DES simple, triple DES, RSA…). Más adelante en este documento se hablara más sobre la seguridad en las tarjetas inteligentes.

      La cantidad de información incorporable a una banda magnética es pequeña y, parcialmente modificable, por lo que la relación entre el usuario de la tarjeta y el emisor es unidimensional: únicamente se actualiza cuando sé interactúa a través de hardware sofisticado (ATMs). El chip, sin embargo, une a su mayor capacidad de recogida de información, la virtualidad de poder gestionar dicha información, con lo que se abren nuevas posibilidades para la relación usuario-emisor. Estas características diferenciales motivan que la difusión de la tecnología chip aplicada en tarjetas de plástico sea altamente deseable. Esta difusión pasa inevitablemente por la estandarización del producto. En el terreno estrictamente físico, la ubicación exacta del chip en la tarjeta de plástico y de los contactos a través de los que interactúa está consensuada a nivel mundial. Esto, además de otros efectos intrínsecamente más importantes, ha tenido como efecto que su imagen se esté popularizando y sea cada vez más comúnmente reconocida. La parte más exterior de todo el mecanismo que soporta su operatoria no es el chip, sino un conjunto de zonas de contacto, cada una de las cuales tiene unas funciones predeterminadas, las cuales se detallarán más adelante en éste documento.

    3. CAPACIDAD DE ALMACENAMIENTO DE INFORMACIÓN
    4. FLEXIBILIDAD

    La tecnología de Tarjetas Inteligentes es compatible con los principales tipos de sistemas operativos. También un entorno de programación que permite crear, almacenar o suprimir aplicaciones en las tarjetas, lo que significa que es posible hacer tarjetas "a medida" seleccionando para la tarjeta las aplicaciones que se adapten a las circunstancias y necesidades de cada persona.

    APARICIÓN CRONOLÓGICA

    1979 Primer prototipo de tarjeta de memoria

    1982 Primer tarjeta telefónica fabricada para France Telecom

    1988 Primer tarjeta DES bancaria fabricada para Carte Bancaire

    1993 Primer tarjeta GSM-SIM ( Global System for Mobile Comunication)

    1996 Primer tarjeta RSA 1024 bits "cryptoprocessor"

    1997 Primer tarjeta de ICC Java powered

    2000 Primer tarjeta de ICC Windows 2000 powered

    2000 Primer tarjeta de ICC para SunRay workstation

    PRINCIPALES FABRICANTES

    • Gemplus (www.gemplus.com)
    • Schlumberger (www.slb.com)
    • Bull (www.bull.com)
    • Oberthur (www.oberthur.com)
    • Orga (www.orga.com)
    • Solaic (www.winforms.phil.tu-bs.de/winforms/ company/solaic/solaic.html)
    • De la Rue (www.delarue.com)

    ¿Qué es una Tarjeta Inteligente?

    Es bastante frecuente denominar a todas las tarjetas que poseen contactos dorados o plateados sobre su superficie , como tarjetas inteligentes. Sin embargo, este término es bastante ambiguo y conviene hacer una clasificación mas correcta. ISO (International Standard Organization) prefiere usar el término "tarjeta de circuito integrado" (Integrated Circuit Card o ICC), para referirse a todas aquellas tarjetas que posean algún dispositivo electrónico. Este circuito contiene elementos para realizar transmisión, almacenamiento y procesamiento de datos. La transferencia de datos puede llevarse a cabo a través de los contactos, que se encuentran en la superficie de la tarjeta, o sin contactos por medio de campos electromagnéticos.

     Estas tarjetas presentan bastantes ventajas en comparación con las de bandas magnéticas:

    • Son capaces de almacenar más información.
    • Pueden proteger la información que almacenan en sus memorias de posibles accesos no autorizados.
    • Poseen una mayor resistencia al deterioro de la información almacenada.

    Dado que el acceso a la información se realiza a través de un puerto serie y supervisado por el propio sistema operativo de la tarjeta, es posible escribir datos confidenciales que no puedan ser leídos por personas no autorizadas. En principio, las funciones de escritura, lectura y borrado de la memoria pueden ser controladas tanto por el hardware como por el software, o por ambos a la vez. Esto permite una gran variedad de mecanismos de seguridad.

    Siendo el chip integrado el componente más importante, las tarjetas están clasificadas según el tipo de circuito.

    CLASES DE TARJETAS INTELIGENTES

    1. Estas tarjetas son las que necesitan ser insertadas en una terminal con lector inteligente para que por medio de contactos pueda ser leída. Existen dos tipos de tarjeta inteligente de contacto: Las sincrónicas y las asincrónicas.

      1. Los datos que se requieren para las aplicaciones con tarjetas de memoria son almacenados en una EEPROM ( Electrical Erasable Programable Read Only Memory).

        Estas tarjetas son desechables cargadas previamente con un monto o valor que va decreciendo a medida que se utiliza y una vez que se acaba el monto se vuelve desechable.

        Memoria Libre: Carece de mecanismos de protección para acceder a la información. Las funciones que desempeñan están optimizadas para aplicaciones particulares en las que no se requieren complejos mecanismos de seguridad.

        Se utilizan para el pago de peajes, teléfonos públicos, maquinas dispensadoras y espectáculos.

         Memoria Protegida: Poseen un circuito de seguridad que proporciona un sistema para controlar los accesos a la memoria frente a usuarios no autorizados. Este sistema funciona mediante el empleo de un código de acceso que puede ser de 64 bits o más.

      2. Tarjetas Inteligentes Sincrónicas o Tarjetas de Memoria
      3. Tarjetas Asincrónicas
    2. Tarjeta Inteligente de Contacto

    Estas tarjetas poseen en su chip un microprocesador, que además cuenta con algunos elementos adicionales como son:

    • ROM enmascarada.
    • EEPROM.
    • RAM.
    • Un puerto de Entrada/Salida

    La ROM ( Read Only Memory ) enmascarada contiene el sistema operativo de la tarjeta, y se graba durante el proceso de fabricación.

     La EEPROM es la memoria no volátil del microprocesador, y en ella se encuentran datos del usuario o de la aplicación, así como el código de las instrucciones que están bajo el control del sistema operativo. También puede contener información como el nombre del usuario, número de identificación personal o PIN (Personal Identification Number).

    La RAM ( Random Access Memory ) es la memoria de trabajo del microprocesador. Al ser volátil se perderá toda la información contenida en ella al desconectar la alimentación.

    El puerto de entrada y salida normalmente consiste en un simple registro, a través del cual la información es transferida bit a bit.

    Las tarjetas con microprocesador son bastantes flexibles puesto que pueden realizar bastantes funciones. En el caso más simple, sólo contienen datos referentes a una aplicación específica, esto hace que dicha tarjeta solo se pueda emplear para esa aplicación, sin embargo, los sistemas operativos de las tarjetas más modernas hacen posible que se puedan integrar programas para distintas aplicaciones en una sola tarjeta. En este caso la ROM contiene sólo el sistema operativo con las instrucciones básicas, mientras que el programa específico de cada aplicación se graba en la EEPROM después de la fabricación de la tarjeta.

    1. Tarjetas Inteligentes sin Contacto

    Son similares a las de contacto con respecto a lo que pueden hacer y a sus funciones pero utilizan diferentes protocolos de transmisión en capa lógica y física, no utilizan contacto galvanico sino de interfase inductiva. Poseen además del chip, una antena de la cual se valen para realizar transacciones. Son ideales para las transacciones que tienen que ser realizadas muy rápidamente.

     Esta tecnología ofrece ventajas con respecto a la de las tarjetas de contacto. Cuando en una tarjeta de contactos se producen fallos de funcionamiento, casi siempre se deben al deterioro en la superficie de contacto o a la suciedad adherida a los mismos. Una de las ventajas de las tarjetas sin contactos es que los problemas técnicos antes mencionados no ocurren, debido claro está, a que carecen de contactos. Otra de las ventajas es la de no tener que introducir la tarjeta en un lector. Esto es una gran ventaja en sistemas de control de accesos donde se necesita abrir una puerta u otro mecanismo, puesto que la autorización de acceso puede ser revisada sin que se tenga que sacar la tarjeta del bolsillo e introducirla en un terminal.

    Este tipo de tarjetas se comunican por medio de radiofrecuencias. Según la proximidad necesaria entre tarjeta y lector, existen dos tipos:

    • Tarjeta cercana: debe estar a unos pocos milímetros del lector para que sea posible la comunicación.
    • Tarjeta Lejana : la distancia varía entre centímetros y unos pocos metros.

    Desde el punto de vista de cómo se alimentan, existen dos tipos:

    • Uno en el cual la tarjeta incorpora junto al chip una batería que alimenta a los circuitos
    • Otro tipo que incorpora un hilo metálico incrustado. Este hilo se somete a un campo electromagnético variable que a su vez induce una corriente eléctrica capaz de alimentar los circuitos de la tarjeta.

    CONTACTOS

    La mayoría de las tarjetas poseen en su superficie 8 contactos, los cuales representan el único interfaz electrónico existente entre la tarjeta y el terminal lector. Todas las señales eléctricas circulan a través de estos contactos, sin embargo se reservan dos contactos para un uso futuro.

    Para ver el gráfico seleccione la opción "Descargar" del menú superior

     Vcc – el chip es similar a un PC. Precisa, por tanto, de energía para funcionar. Vcc es el "toma de corriente" del chip. La energía la proporciona el dispositivo hardware con el que la tarjeta interactúa en cada operación.

    RST – es el mecanismo que pone en funcionamiento la interrelación entre una tarjeta inteligente y cualquier elemento Externo adecuado con el que se ponga en contacto (TPV, ATM, TPS).

    CLK – el "reloj" determina la velocidad de funcionamiento de la tarjeta.

    RFU – no tiene asignadas funciones por el momento.

    GND – la "masa" de la "toma de corriente".

    VPP – Voltaje externo para programar la memoria de la tarjeta.

    I/O – punto de entrada y salida de la información.

    RFU – no tiene asignadas funciones por el momento.

    Fases de vida de la tarjeta inteligente

    • Fabricación:

    -Desarrollo del SO y su implementación como mascara ROM.

    Producción industrial del chip.

    • Preparación:

    -Inicialización y pre-personalización de la tarjeta según uso futuro.

    -Envío al expendedor de la tarjeta.

    • Personalización.
    • Uso.
    • Fin de la vida activa.

     LECTORES DE TARJETAS INTELIGENTES

    Como el propio nombre lo indica, un lector de tarjetas es una interfaz que permite la comunicación entre una tarjeta y otro dispositivo. Los terminales se diferencian unos de otros en la conexión con el ordenador, la comunicación con la tarjeta y el software que poseen.

    Para ver el gráfico seleccione la opción "Descargar" del menú superior

      Existe lectores de tarjetas inteligentes para cada aplicación y los podemos dividir en:

    • Lectores conectados a un PC: Como su nombre lo indica son lectores fabricados para ser usados conectándolo a un computador, esta conexión puede ser a través de un puerto serie, usb, pcmcia, etc.
    • Lectores conectados a un equipo específico: Son lectores que se pueden instalar (previo fabricación y diseño) en un aparato determinado para cumplir con una función. Estos lectores se pueden instalar en:

    Cajeros automáticos, máquinas expendedoras, parquímetros, puertas (control de acceso), motores, etc.

    • Lectores Portátiles: Son equipos que no necesitan de otro aparato para cumplir su función. Generalmente poseen todos los recursos integrados como baterías, memoria, pin pad, etc.

    1. ISO: normas que afectan a las características más básicas, incluso físicas, de los componentes de las tarjetas Inteligentes.

      EMV: los tres operadores internacionales más importantes de medios de pago están ultimando el desarrollo de estándares que se refieren al proceso transaccional.

      CEN: normativa del Comité Europeo de Normalización que tiene por objeto el funcionamiento de las aplicaciones. La homogeneidad de este aspecto posibilita la convivencia de diferentes utilidades en una misma tarjeta.

      LOS ESTANDARES DE LA ISO

      La tarjeta inteligente más básica cumple los estándares de la serie ISO 7816, partes 1 a 10. Este estándar detalla la parte física, eléctrica, mecánica y la interfaz de programación para comunicarse con el microchip.

      La descripción de cada una de las partes de la ISO 7816 es:

      7816-1: Características Físicas.

      7816-2: Dimensiones y ubicaciones de los contactos

      7816-3: Señales Electrónicas y Protocolo de Transmisión

      7816-4: Comandos de intercambio inter-industriales

      7816-5: Sistema de Numeración y procedimiento de registración

      7816-6: Elementos de datos inter-industriales

      7816-7: Comandos inter-industriales y Consultas Estructuradas para una Tarjeta

      7816-8: Comandos inter-industriales Relacionados con Seguridad.

      7816-9: Comandos adicionales inter-industriales y atributos de seguridad.

      7816-10: Señales electrónicas y Respuesta al Reset para una Smart Card Síncrona.

      Una descripción para las smart cards sin contacto está descrito en el estándar ISO 14443.

      1. ISO (7816-1) : Características Físicas
    2. ESTANDARES

    El rasgo más distintivo de una tarjeta es sin duda su aspecto físico. Otra característica notable a simple vista es la presencia o no del área de contactos, que tiene la forma de un cuadrado dorado o plateado, y que se encuentra en la superficie de la tarjeta. En algunos casos esta área no existe (tarjetas sin contacto).

    Existe una intima relación entre el cuerpo de la tarjeta y el chip que lleva implantado dentro, de nada sirve que el cuerpo de la tarjeta sea capaz de soportar temperaturas extremas, si el microprocesador no comparte esa característica. Ambos componentes deben de satisfacer todos los requisitos tanto por separado como conjuntamente.

    • Tarjeta conforme con ISO 7810, 7813
    • La tarjeta debe:

    -Resistir ataques con rayos X y luz Ultravioleta

    -Tener superficie plana

    -Permitir cierto grado de torsión

    -Resistir altos voltajes, campos electromagnéticos, electricidad estática

    -No disipar más de 2,5 W

    • Tamaños de tarjetas

    -ID-1 (es el más habitual)

    -ID-00

    -ID-000 (el de GSM)

     

    1. Dado que el microprocesador requiere de una vías por donde tomar la alimentación para sus circuitos o para llevar a cabo la trasmisión de datos, es necesario una superficie física de contacto que haga de enlace entre el lector y la tarjeta.

      Esta superficie consiste en 8 contactos que se encuentran en una de las caras de la tarjeta.

      El tamaño de los contactos no deber ser nunca inferior a1,7 mm de alto y 2 mm para el ancho, el valor máximo de estas medidas no está especificado.

    2. ISO 7816-2: Dimensión y localización de los contactos
    3. ISO 7816-3: Señales electrónicas y protocolos de transmisión

    Toda comunicación que se realice con una tarjeta es iniciada siempre por el dispositivo externo, esto quiere decir que la tarjeta nunca transmite información sin que se haya producido antes una petición externa. Esto equivale a una relación maestro-esclavo, siendo el terminal el maestro y la tarjeta el esclavo.

    Cada vez que se inserta una tarjeta en el terminal lector, sus contactos se conectan a los del terminal y éste procede a activarlos eléctricamente, a continuación, la tarjeta inicia un reset de encendido y envía una respuesta llamada ATR ( Answer To Reset ) hacia el terminal. Esta respuesta contiene información referente a cómo ha de ser la comunicación tarjeta-lector, estructura de los datos intercambiados, protocolo de transmisión, etc.

    Una vez que el lector interpreta el ATR procede a enviar la primera instrucción. La tarjeta procesa la orden y genera una respuesta que es enviada hacia el terminal. El intercambio de instrucciones y respuestas acaba una vez que la tarjeta es desactivada.

    Entre la respuesta ATR y la primera orden enviada, el terminal puede transmitir una instrucción de selección del tipo de protocolo o PTS ( Protocol Type Selection ). Esto sucede cuando la tarjeta especifica más de un protocolo en la respuesta al reset y el terminal no sabe cuál ha de usar.

    Todos los datos enviados por la línea de comunicación son digitales y usan los valores "0" y "1". Los valores de tensión usados son 0 y 5 voltios. Parte de la información contenida en la ATR tiene la misión de informar sobre qué valor de tensión se va a aplicar a cada digito binario. Existen dos convenios: el de la lógica directa que asigna 5 Voltios al "1" lógico, y 0 Voltios al "0" lógico, y el de lógica inversa que asigna 5 Voltios al "0", y 0 Voltios al "1" lógico.

    Los protocolos de transmisión especifican con precisión cómo han de ser las instrucciones, las respuestas a las mismas y el procedimiento a seguir en caso de que se produzcan errores durante la transmisión. Existen alrededor de 15 protocolos distintos, pero dos de ellos son los mas utilizados., el T=0 que fue diseñado en 1989, y el T=1 que fue introducido en 1992.

    SISTEMA OPERATIVO Y ESTRUCTURA DE FICHEROS

    SISTEMA OPERATIVO

    Para ver el gráfico seleccione la opción "Descargar" del menú superior

    En contraste con los sistemas operativos conocidos, los sistemas basados en tarjetas inteligentes no permiten al usuario el almacenamiento externo de información, siendo las prioridades más importantes la ejecución segura de los programas y el control de acceso a los datos.

    Debido a la restricción de memoria, la cantidad de información que se puede grabar es bastante pequeña. Los módulos de programa se graban en la ROM, lo cual posee la desventaja de no permitir al usuario programar el funcionamiento de la tarjeta según sus propios criterios, ya que una vez grabado el sistema operativo es imposible realizar ningún cambio. Por esto el programa grabado en la ROM debe ser bastante fiable y robusto.

    Otra característica importante del sistema operativo es que no permite el uso de "puertas traseras", que son bastante frecuentes en sistemas grandes. Esto quiere decir que es imposible hacer una lectura desautorizada de los datos contenidos usando el código propio de la tarjeta.

    Existen otras funciones que desempeña el código almacenado en la ROM:

    • Transmisión de datos desde y hacia la tarjeta.
    • Control de la ejecución de los programas.
    • Administración de los datos.
    • Manejo y administración de algoritmos criptográficos.

    Unas de las principales características de las tarjetas de circuito integrado es que permiten almacenar datos e incluso proteger el acceso a dichos datos frente a lecturas no autorizadas. Las tarjetas incluyen auténticos sistemas de administración de ficheros que siguen una estructura jerárquica. Los programas que gobiernan estos sistemas están bastante minimizados para reducir el uso de memoria.

    Los sistemas operativos más recientes están orientados a trabajar con objetos, esto quiere decir que todos los datos referentes a un fichero están contenidos en él mismo. Otra consecuencia es que para efectuar cambios en el contenido de un fichero, éste debe ser seleccionado con la correspondiente instrucción. Los ficheros están divididos en dos secciones distintas: la primera se conoce como cabecera y contiene datos referentes a la estructura del fichero y a las condiciones de acceso. La otra sección es el cuerpo del fichero que contiene los datos del usuario.

    ORGANIZACIÓN DE FICHEROS

    La estructura de los ficheros contenidos en una tarjeta es similar a los sistemas DOS y UNÍX. Existen varios directorios que hacen las funciones de carpetas que contienen ficheros. Los tipos de ficheros existentes son:

    • Fichero Maestro (MF):

    Es el directorio raíz y es seleccionado de manera automática después de iniciar la tarjeta. En él están contenidos todos los directorios y ficheros. El fichero maestro representa a toda la memoria disponible en la tarjeta para almacenar datos.

    • Fichero Dedicado (DF):

    Situado debajo del MF.

    Es un directorio que puede contener ficheros o incluir a otros DF. El nivel de anidamiento es infinito pero ha de restringirse debido a la escasez de memoria.

    • Fichero Elemental (EF):

    Situado debajo del MF o de un DF.

    Los datos de usuario necesarios para la aplicación están almacenados en estos ficheros.

     Para ver el gráfico seleccione la opción "Descargar" del menú superior

     SEGURIDAD

    Existen en la actualidad empresas que han tomado la decisión de basar la seguridad de sus sistemas en las tarjetas inteligentes. La seguridad física de estas es muy alta. Sin el PIN ( Personal Identification Number ) estas tarjetas no se activan impidiendo su uso por usuarios no autorizados.

    Un problema de seguridad que hasta ahora ha quedado sin resolver es el de la comunicación entre la tarjeta y el lector. Algunas tarjetas se utilizan sobre redes de comunicaciones como Internet en las que se pueden producir escuchas de información confidencial. Otro de los problemas de es el de la autenticación, consistente en asegurar de forma fiable la identidad del interlocutor. La tarjeta tiene que estar segura de que el lector con el que trata o el expendedor de dinero electrónico del que extrae dinero son de fiar y a su vez los lectores y los sistemas centrales de las aplicaciones financieras tienen que asegurarse que están tratando con una tarjeta válida.

    La criptografía buscar resolver tres problemas básicos: confidencialidad, que la información no sea accesible a un usuario no autorizado; integridad, que la información no sea modificada sin autorización; y autenticación, que se reconozca de forma fiable la identidad del interlocutor.

    Para entender algunas de las aplicaciones de dinero electrónico en tarjetas inteligentes hay que entender también las técnicas criptográficas de demostración de identidad de conocimiento cero ( Zero-knowledge proof identity ZKPI ).

    ZKPI es un protocolo criptográfico que permite demostrar la identidad de un interlocutor sin que un espía obtenga información que le permita suplantarlo en el futuro. El problema de la identificación por nombre de usuario y clave ( muy usada en los sistemas multiusuario ) es que un espía que escuche una vez las comunicaciones obtiene la información suficiente para suplantar al legitimo usuario. El protocolo ZPKI obvia este problema impidiendo un ataque tan simple como escuchar las comunicaciones cuando se está ejecutando el protocolo de demostración de identidad.

    CONCEPTOS BASICOS

    La palabra "criptografía" deriva de "cripto" ( oculto ) y "grafos" ( escritura ), y su objetivo es garantizar la privacidad y autenticidad del mensaje y del emisor. En el bando contrario, el criptoanálisis persigue romper la privacidad del mensaje y suplantar al emisor.

    La técnica de cifrado se basa en un algoritmo de cifrado y una clave, de tal forma que se requieren ambos para generar, a partir del texto claro, el texto cifrado. Para descifrar se requieren un algoritmo de descifrado y una clave de descifrado.

    Un protocolo criptográfico es aquel que utiliza técnicas criptográficas junto con las reglas de comunicación.

    Estos protocolos se utilizan por temas tan diversos como asegurar una comunicación, reconocer al interlocutor, firmar contratos, etc.

    La técnica mas inmediata para obtener una clave consiste en probar todas las claves posibles hasta descifrar la correcta. Esta técnica se conoce como "fuerza bruta". Cuando un atacante conoce un mensaje en claro y cifrado, probará todas las claves posibles, comparando el resultado del descifrado con el texto claro, cuando coinciden ha obtenido la clave.

    1. CIFRADO SIMÉTRICO

    2. Se caracteriza por poseer un único algoritmo de cifrado/descifrado, aunque en la ejecución de ambas operaciones pueden existir pequeñas variaciones, y por una única clave para cifrar y descifrar. Esto implica que la clave tiene que permanecer oculta y ser compartida por el emisor y el receptor, lo que significa que se debe distribuir en secreto y se necesita una clave para cada par de interlocutores.

      Se caracteriza por la existencia de dos claves independientes para cifrar y para descifrar. Esta independencia permite al receptor hacer pública la clave de cifrado , de tal forma que cualquier entidad que desee enviarle un mensaje pueda cifrarlo y enviarlo. La clave de descifrado permanece secreta, por lo que sólo el receptor legitimo puede descifrar el mensaje. Ni siquiera el emisor es capaz de descifrar el mensaje una vez cifrado.

    3. CIFRADO ASIMÉTRICO (clave pública)
    4. FORTALEZA DE LOS ALGORITMOS DE CIFRADO

    Dentro de los sistemas criptográficos hay que distinguir entre el algoritmo criptográfico y el protocolo criptográfico. Un algoritmo criptográfico es un mecanismo que permite convertir un texto claro ( legible) en otro cifrado ( ilegible). Un protocolo criptográfico es un protocolo en el que se utilizan algoritmos criptográficos.

    La seguridad de un sistema con protección criptográfica puede venir de la debilidad de sus algoritmos o de sus protocolos, también puede producirse a través de sus claves. Un algoritmo es inseguro cuando existe un método más eficaz que la fuerza bruta para obtener la clave; no es necesario probar todas las claves posibles para obtenerla. Un protocolo es inseguro cuando siendo seguros sus algoritmos criptográficos, es posible debilitar alguna de sus propiedades criptográficas ( autenticación, integridad y confidencialidad ).

    CIFRADO DATA ENCRYPTION STANDARD (DES)

    Es uno de los sistemas criptográficos más utilizados en todo el mundo. Esto no significa que el algoritmo sea el menos vulnerable o el más eficiente, sino que su verdadera importancia reside en la aceptación que ha tenido en el mercado criptográfico, ya que fue uno de los primeros intentos por parte del gobierno de los Estados Unidos por implantar un estándar para transmitir datos digitales de una forma segura.

    El DES se define como un algoritmo simétrico cifrador de bloques de 64 bits, es decir, el algoritmo cifra bloques de texto de 64 bits utilizando una clave de 56 bits, generando un bloque de texto cifrado de 64 bits.

    Debido al carácter simétrico del algoritmo, se utiliza la misma clave para cifrar y descifrar, usándose también el mismo algoritmo para ambas funciones.

    CIFRADO RSA

    RSA es uno de los algoritmos de clave pública más representativos. Sirve tanto para cifrar como para realizar firmas digitales. Es uno de los pocos algoritmos que se pueden implementar y comprender de una manera sencilla. Su nombre se debe a las iniciales de sus tres inventores, Ron Rivest, Adi Shamir y Leonard Adleman, los cuales crearon el algoritmo en el año 1978.

    La verdadera fortaleza del sistema radica en la dificultad de obtener la clave privada a partir de los datos públicos del sistema.

    Aunque existen algoritmos que realizan la firma digital con técnicas de cifrado simétrico, éstos adolecen de la necesidad

    USOS DE LAS TARJETAS INTELIGENTES

    • Programas de Fidelización

    Cada vez más programas de fidelización en sectores como líneas aéreas, hoteles, restaurantes de comida rápida y grandes almacenes, utilizan las tarjetas inteligentes, que registran los puntos y premios, y que ofrecen datos detallados sobre los hábitos y experiencias de los clientes a los operadores de dichos programas, a fin de elaborar sus campañas de marketing con mayor precisión.

    • Monederos Electrónicos

    Estas tarjetas electrónicas de pago permiten evitar los problemas de encontrar el cambio exacto, ya que cargan el efectivo en un monedero electrónico que puede usarse para las compras de todos los días en tiendas, kioscos, billetes de transporte, parquímetros, teléfonos, etc.

    • Aplicaciones en Grupos Cerrados

    Las tarjetas inteligentes están muy extendidas entre los grupos cerrados de usuarios (residentes de una ciudad, personal de una universidad, personal de una compañía, aficionados de un equipo deportivo, clientes de un parque de atracciones, etc.), los cuales pueden utilizar tarjetas con múltiples aplicaciones para pagar sus cuotas o acceder a servicios (por ejemplo, descuento en compras, entrada para partidos, máquinas expendedoras, credenciales de biblioteca, parques de atracciones, estacionamientos, etc.), de forma ilimitada de acuerdo con la autorización y circunstancias personales

    • Tarjetas de asistencia Médica (Clínicas y Seguros)

    Las tarjetas inteligentes o smarts cards, pueden almacenar expedientes médicos, información para casos de emergencia y situación en materia de seguros de enfermedad.

    • Documentos y Credenciales (Seguridad y Control de Acceso)

    Los gobiernos que deseen reducir costos y papeleo pueden utilizar las tarjetas inteligentes para emitir carnets de conducir, pasaportes y visas. Las smart cards pueden programarse para permitir el acceso a edificios o datos, dependiendo del cargo y del nivel de autorización.

    • Débito-Crédito

    En muchos países, las versiones para cinta magnética de éstas aplicaciones residen conjuntamente con las tarjetas inteligentes, pero las nuevas normas EMV (EuroPay, MasterCard y Visa) implican que los adquirientes deben actualizar sus redes, tarjetas y terminales con fecha límite en 2005. EMV establece el uso de las tarjetas inteligentes en sustitución de las tarjetas de banda magnética.

    MONEDEROS ELECTRÓNICOS

    El sistema del monedero electrónico opera con tarjetas inteligentes que tiene un microchip, éste, al hacer contacto con los lectores de los dispositivos que, para tal fin, tienen instalados los establecimientos comerciales, realiza las transferencias del dinero contenido en la tarjeta.

    El microchip está programado para funcionar como una microcomputadora electrónica que lleva a cabo procesos de pagos sólo con insertar la tarjeta inteligente en el lector para tarjetas, además, tiene programado un código de seguridad que permite que las transferencias se realicen bajo complejos sistemas de seguridad, tanto para el establecimiento como para el usuario, ya que todo esto proporciona que ésta se utilice de manera personalizada y segura.

    Las empresas que utilizan la tecnología de las tarjetas inteligentes como una alternativa al manejo de dinero en efectivo son cada día más. Ello debido a que el monedero electrónico es fácil de usar y ofrece grandes beneficios.

    La seguridad de éste sistema de pago se basa en dos elementos básicos en el sistema de las tarjetas inteligentes: el hardware del chip de la tarjeta y el software que controla los movimientos del valor de las tarjetas, es decir, el dinero que tienen guardado.

    El chip inteligente ha sido diseñado específicamente para proteger los datos de las operaciones no autorizadas y modificadas. Continuamente se actualizan sus sofisticadas técnicas de seguridad, utilizando para ello el creciente poder de la tecnología. Cada transacción tiene datos únicos de identificación; asimismo, cada tarjeta contiene una clave y una secuencia para cada operación. Estas claves previenen potencialmente a los Usuarios de que se haga un uso ilícito de las tarjetas, o que se dupliquen las operaciones al realizar dos veces la descarga del dinero.

    El monedero electrónico ofrece los beneficios de hacer pagos con tarjetas, aunque con una nueva modalidad en tanto realiza transacciones con el dinero propio que se tiene guardado en la tarjeta. Las transacciones con el monedero electrónico pueden ser más rápidas que las realizadas con dinero en efectivo.

    Este sistema es parecido a las tarjetas de débito, pero el monedero electrónico permite a los negocios aceptar inmediata y directamente los pagos sin requerir autorización, como si se tratara de dinero en efectivo. Les permite también recibir el pago de inmediato.

    Los negocios que aceptan este sistema de pago, tienen instalada una terminal lectora de tarjetas, donde se inserta el monedero electrónico. Una pantalla en la terminal despliega el importe total de la compra y muestra que la operación de pago con la tarjeta se está realizando. Tan pronto como se comprueba que el Usuario o comprador tuvo suficiente efectivo en su tarjeta, la pantalla de la terminal mostrará, en un parpadeo, que la transacción está completada. El dinero exacto del monto de la compra pasó de la tarjeta del Usuario, al lector de la tarjeta instalado en la terminal del negocio.

    En cuanto a la seguridad para los establecimientos que aceptan este sistema de pago, existe la posibilidad de asegurar electrónicamente la terminal lectora de la tarjeta, de forma que sólo personal autorizado pueda desactivar el seguro mediante una clave equivalente a un Número de Identificación Personal (PIN). Esto permite pagar a los empleados, o hacer un registro de ventas, por ejemplo, adecuándose a las necesidades particulares de cada negocio. Además, se puede saber cuánto dinero tiene la terminal del establecimiento simplemente presionando en la terminal la tecla marcada con la palabra balance.

    El monedero electrónico es un sistema que principalmente ofrece seguridad y comodidad en el manejo del dinero. El Usuario que cuente con un monedero electrónico tiene la seguridad de no cargar dinero en efectivo, la comodidad de no recibir cambio y evitar las monedas en el bolsillo. Para los negocios significa un pago con tarjeta que puede ser inmediatamente aceptado sin el costo que representa verificar fondos o disponibilidad de la tarjeta. En ventas nocturnas, gasolineras, bares, restaurantes y aquellos establecimientos que necesitan un sistema de alta seguridad( que actualmente son la mayoría), les evita los inconvenientes de tener efectivo guardado y posteriormente poner en riesgo al personal que lo llevará al banco. Los Usuarios de esta sofisticación monetaria electrónica no traen consigo dinero en efectivo, por el contrario, cargan una llave de seguridad que se previene a sí misma de ser utilizada sin autorización. Esto les permite a los propietarios hacer compras de manera segura y sin excederse de sus propios límites.

    El monedero electrónico es un sistema de pago internacional con el que cualquiera puede hacer compras en sus viajes o transferir dinero entre diferentes países. Lo mismo funciona en una tienda de chocolates que en un gran almacén especializado en artículos de lujo. El dueño de la tarjeta, elige su clave personal y la puede cambiar cuando lo desee. Técnicamente no es posible sobrepasar un límite del monto de efectivo que podría ser amparado y transferido por el monedero electrónico, pero cada país tiene diferentes lineamientos y políticas al respecto.

    CONCLUSIONES

    Las tarjetas inteligentes presentan un coste por transacción que es menor que el de las tarjetas magnéticas convencionales. Esto es incluyendo los costes de la tarjeta, de las infraestructuras necesarias y de los elementos para realizar las transacciones.

    Ofrecen prestaciones muy superiores a las de una tarjeta magnética tradicional. Esta ventaja se explica por las configuraciones múltiples que puede tener, lo que permite utilizarla en distintas aplicaciones.

    Permiten realizar transacciones en entornos de comunicaciones móviles, en entornos de prepago y en nuevos entornos de comunicaciones. A estos entornos no puede acceder la tarjeta tradicional.

    Las mejoras en seguridad y funcionamiento permiten reducir los riesgos y costes del usuario.

    Nuevos servicios y aplicaciones están surgiendo, y necesitan de esta tecnología, para los cuales las tarjetas de banda magnética no pueden brindar soluciones.

    Las tarjetas inteligentes son elementos que sin lugar a dudas, se convertirán en un algo cotidiano en nuestras vidas.

    La incursión de esta tarjeta en el continente europeo es cada día más grande. La tarjeta inteligente esta ganando terreno día a día sobre todo en Francia. En los Estados Unidos aún existe cierta resistencia pero poco a poco esta ganando aceptación. No seria extraño pensar que en nuestro país, comiencen a aparecer nuevas aplicaciones y/o servicios, en los que la tarjeta inteligente se torne un elemento fundamental (como sucedió con las tarjetas telefónicas de Antel).

    En un futuro próximo tal vez las computadoras de escritorio cuenten con un lector de tarjetas inteligentes integrado, al igual que hoy en día los ordenadores personales cuentan con una disquetera y con un lector de CDs.

    Bibliografía

    – GUTHERY Scott B., JURGENSEN Timothy M., 1998. "Smart Card Developer’s Kit". 2da.ed. Estados Unidos de America: Macmillan Technical Publishing.

    – Hendry Mike. 1997. "Smart Card Security and Applications". Londres: Artech House Publishers.

    – Sandoval Juan D., Brito Ricardo, Mayor Juan C., 1999. "Tarjetas Inteligentes". España: Thomson Publishing Company.

    • Schlumberger Test & Transactions. 2002. "MITOS Y REALIDADES SOBRE LAS TARJETAS INTELIGENTES SMART CARDS". [online]. Disponible en Internet :

    <http://www.amiti.org.mx/biblioteca/Mitos%20y%20realidades%20sobre%20las%20tarjetas%20inteligentes%20Smart%20Card.pdf >

    • SchlumbergerSema. 2001. "Tendencia Anual del Mercado de Tarjetas Inteligentes". [online]. Disponible en Internet: <http://www.sema.es/news/pdf/Annual_SmartCard_Trends.pdf >
    • Universidad de Murcia. 2000. Sistema de Control de Acceso en Aulas Basado en Tarjetas Inteligentes. [online]. Disponible en Internet: <http://www.um.es/si/ssl/docs/umgesv01.pdf >
    • Universidad de Murcia y la Universidad Politécnica de Cartagena. 2000. Tarjetas de la Universidad. [online]. Disponible en Internet:

    <http://www.vdigitalrm.com/cajamurc.htm>

     

    DIEGO MEDAGLIA

    LICENCIADO EN ANALISIS DE SISTEMAS

    Universidad ORT Uruguay

    Facultad de Ingeniería