اطلاعات سری در کارت های هوشمند

کارت هوشمند، کارتی پلاستیکی (PVC) است که بر روی آن یک قطعه تراشه الکترونیکی (Chip) کوچک نصب شده است. این تراشه شامل بخش‌های مشابه با یک رایانه واقعی در ابعاد بسیار کوچکتر است.

به طور کلی از کارت‌های هوشمند به عنوان ابزاری جهت پردازش و ذخیره‌سازی اطلاعات با ضریب امنیتی بسیار بالا استفاده می‌شود که امکان کنترل حقوق دسترسی به اطلاعات روی آن به راحتی امکان پذیر است.

پارامتر امنیت و رمزنگاری اطلاعات، از مهمترین ویژگی‌های این فناوری نوین است که در این زمینه فعالیت‌های مطالعاتی فراوانی انجام گرفته است. امروزه در دنیا کاربردهای متنوع این فناوری در زمینه‌های مختلف قابل مشاهده بوده و به طور چشمگیری در حال افزایش می‌باشد.
 
کارت هوشمند و کارت حافظه

هر دو کارت (هوشمند و حافظه)، از لحاظ ظاهری (شکل، ابعاد) یکسان می‌باشند، اما تفاوت اصلی این دو کارت در ساختار تراشه و امکان پردازش داده‌ها توسط کارت هوشمند و امکان ذخیره سازی اطلاعات در کارت حافظه می‌باشد. کارت حافظه همچون بسیاری از حافظه‌های رایج (Flash Drive, RAM,…) صرفاً برای ذخیره اطلاعات کاربرد دارد و پردازش اطلاعات آنها به واسطه دستگاه کارت خوان و به وسیله پردازنده متصل به کارت‌خوان صورت می‌پذیرد.

کارت هوشمند علاوه بر ذخیره اطلاعات امکان پردازش اطلاعات را نیز دارا می‌باشد، بدین مفهوم که ساختار کارت با بهره‌گیری از اجرای اصلی یک رایانه، مانند پردازشگر (CPU) و حافظه دائمی، حافظه‌های موقت، حافظه‌های فقط خواندنی و... و خصوصاً سیستم عامل قدرت پردازش داده‌ها و اجرای فرامین کاربر را از طریق سیستم عامل دارد.

به این ترتیب و با توجه به امکان رمزنگاری داده‌ها در داخل کارت هوشمند این پدیده به عنوان مطمئن‌ترین ابزار برای تأمین امنیت داده‌ها مطرح می‌باشد.

انواع کارت هوشمند

به طور کلی دو نوع کارت هوشمند از لحاظ روش برقراری ارتباط وجود دارد:

1- کارت‌های هوشمند تماسی (Contact) که با قراردادن در دستگاه‌های کارت خوان عملیات خواندن و نوشتن بر روی آنها انجام می‌شود.

2- کارت‌های هوشمند غیرتماسی (Contact less) که فقط با قرار گرفتن در فاصله نزدیک به کارت خوان، عملیات خواندن و نوشتن به وسیله امواج RF برروی آنها انجام می‌شود.

ویژگی‌های متمایز کننده کارت هوشمند

این ساختار سبب ایجاد قابلیت‌های فوق‌العاده‌ای برای کارت هوشمند شده است. این قابلیت‌ها، نقطه تمایز آن با کارت‌های حافظه (Memory Card) محسوب می‌شود. از جمله این قابلیت‌ها عبارتند از:

- تأمین امنیت بالا و استفاده از الگوریتم‌های رمزنگاری
- عدم امکان مهندسی معکوس (Reverse Engineering) جهت دسترسی به اطلاعات
- امکان کارکرد نابهنگام (offline)
- امکان استفاده چند منظوره از کارت (Multi Application) به عنوان کارت بانکی، کارت شناسایی، مجوز ورود و دسترسی به سیستم، حضور و غیاب و...
- سهولت در تمدید اعتبار یا ابطال کارت
- امکان ذخیره و استفاده از مشخصات زیست سنجی (بایومتریک) در کاربردهای امنیتی
با توجه به ساختار و قابلیت‌های کارت هوشمند و نیز تفاوت‌های آن با سایر کارتها جهت بیان ضرورت استفاده از «کارت هوشمند» سه کاربرد مهم زیر قابل‌بررسی است:

1- احراز هویت افراد
2- اطمینان از محرمانگی داده‌های ذخیره شده
3- اطمینان از عدم افشای داده‌ها حین انتقال

احراز هویت

هر کاربر قبل از ورود به سیستم و دسترسی به اطلاعات و یا دریافت سرویس باید احراز هویت شود.

با احراز هویت سیستم قادر است از دسترسی و ارائه سرویس به افراد غیرمجاز جلوگیری نماید. جهت احراز هویت کارت هوشمند از فرآیند دریافت و تطبیق PIN استفاده می‌کند این فرآیند درون کارت انجام می‌شود، لذا مقدار PIN تنها در اختیار دارنده کارت و صاحب کارت خواهد بود، عدم ذخیره PIN در بانک‌های اطلاعاتی (خارج از حافظه کارت هوشمند) این تضمین حقوقی را می‌دهد که در صورت بروز تخلف تنها دارنده کارت مقصر بوده و ملزم به جبران خسارات می‌باشد.

امکان استفاده از روش‌های بیومتریک احراز هویت مانند اثر انگشت که برای هر فرد منحصر به فرد است، به عنوان PIN کارت وجود دارد که اجازه می‌دهد سیستم به طور خودکار کاربر مجاز را شناسایی و از ارائه سرویس به کاربر غیرمجاز جلوگیری نماید.

1- اطمینان از محرمانگی داده‌های ذخیره شده

استفاده‌کنندگان از کارت‌های هوشمند انتظار دارند که داده‌های آنها به صورت محرمانه نگهداری شوند. کاربر باید در مقامی باشد که بدون اجازه وی دسترسی به داده‌هایش مقدور نباشد. در واقع کاربر با قرار دادن کارت خود در کارت‌خوان و احراز هویت خود، به طرف حساب اجازه می‌دهد که به اطلاعات وی دسترسی داشته باشد.

داده‌ها همچنین می‌توانند سطوح دسترسی متفاوتی داشته باشند، مثلاً داده‌هایی که در دسترس افراد عادی هستند، با داده‌هایی که در دسترس یک مدیر متفاوت می‌باشند. بعضی از داده‌ها نیز تنها برای فرد به وجود آورنده قابل دسترسی هستند.

کارت همچنین می‌تواند یک «اشاره‌گر» به اطلاعات ثبت شده کاربر در هر بانک داده دیگری باشد؛ بدین ترتیب هرگاه که شخصی بخواهد به این اطلاعات دسترسی داشته باشد، صرفاً با اجازه کاربر می‌تواند به اطلاعات ثبت شده وی دسترسی پیدا کند. در واقع تنها لینک بین کاربر و رکوردهای وی، کارت هوشمند وی خواهد بود. بدین ترتیب، نگرانی‌های مربوط به حریم خصوصی در هنگام ذخیره‌سازی اطلاعات بیمار از بین خواهد رفت. درخواست کاربر و نحوه خدمت نیز به وسیله یک امضای دیجیتالی که توسط متصدی تولید می‌شود، امضا خواهند شد.
 
سابقه افراد و سایر خدمات انجام شده برای یک کاربر حاوی مقدار زیادی اطلاعات درخواست، گزارش و... است که اغلب در جاهای مختلف نگهداری می‌شوند و اغلب هیچ کس از جای آنها خبر ندارد. سابقه مراجعات و خدمات ارائه شده لازم نیست که وجود فیزیکی متمرکز داشته باشند، بلکه جمع‌آوری مجازی تمام سوابق کاربر در مراکز مختلف نیز سابقه کاربر را تشکیل می‌دهد. به این ترتیب می‌توان این اطلاعات را روی یک رسانه ارزان (مانند اینترنت) قرار داد و با یک نرم‌افزار مرورگر ساده، به آن دسترسی پیدا کرد. این عمل، این امکان را به وجود می‌آورد که افراد بدون دغدغه از دسترسی افراد غیرمجاز بر سوابق خود نظارت داشته باشند.

2- اطمینان از عدم افشای داده‌ها هنگام انتقال

همواره ارتباطات دیجیتالی، دو نقطه ضعف بالقوه دارند: اول اینکه داده‌ها در حین انتقال قابل برداشتن باشند و دوم اینکه داده‌ها قبل از انتقال، قابل خواندن یا تغییر دادن باشند.
«رمزنگاری» و «امضای دیجیتال» تضمین‌کننده این است که:

اولاً پیامی که به دست وی رسیده، واقعاً از طرف فرد مورد ادعاست؛
ثانیاً این پیام در بین راه تغییر نکرده و یا توسط کسی خوانده نشده است؛
ثالثاً فرستنده نمی‌تواند ادعا کند این پیام را نفرستاده است؛

روش و الگوریتم مدیریت این فرآیندهای ریاضی، داخل کارت هوشمند ذخیره و رأساً توسط کارت انجام می‌شوند.

کاهش هزینه

استفاده از کارت هوشمند باعث کاهش هزینه‌های اشاره شده در ذیل می‌شود:

فرآیندهای دفتری و کاغذی
مخارج پستی
چاپ اطلاعات
ذخیره‌سازی اطلاعات
اصلاح اطلاعات
بازیابی اطلاعات
صرفه‌جویی در زمان

استفاده از کارت هوشمند به دلایل زیر باعث صرفه‌جویی در زمان نیز می‌شود:

نداشتن تقاضای تکراری برای اطلاعات
عدم نیاز به جست وجو و صرف وقت برای به دست آوردن اطلاعات مناسب
عدم نیاز به تکمیل فرم‌های غیرضروری