SlideShare une entreprise Scribd logo

Utilização de cartões inteligentes em aplicações móveis

Télécharger en tant que PPT, PDF
Miguel Pardal
Miguel Pardal

O documento discute a utilização de cartões inteligentes em aplicações móveis. Apresenta as tecnologias por trás dos cartões inteligentes e como o cartão SIM é usado na rede GSM para autenticação. Também descreve um piloto de comércio móvel que usou criptografia assimétrica para assinaturas digitais seguras.

Technologie
1  sur  28
Algoritmos e Aplicações de Segurança Utilização de cartões inteligentes em aplicações móveis Miguel Pardal (M5329 – mflpar@mega.ist.utl.pt) 16 de Dezembro de 2003
Sumário I. Tecnologias de cartões II. O cartão SIM na rede GSM III. Piloto de comércio móvel IV. Conclusões 2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 2
I. Tecnologias de Cartões • Cartão: – A maior parte das pessoas conhece e sabe utilizar – Contém identidade, acesso a serviços, outra informação… 2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 3
Cartões magnéticos • Banda magnética contém (pouca) informação • Muito baratos • Tipo de cartão mais usado, especialmente na Banca • Guardam PIN cifrado • Validação on-line por dispositivo ligado a rede • Não há controlo de leitura e escrita na banda 2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 4
Cartões inteligentes • Smart Cards • Permitem controlo de leitura e escrita • Relação custo-benefício começa a torná-los mais atractivos: – American Express Blue – Smart VISA Card – Lisboa Viva 2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 5
Arquitectura de cartões inteligentes • Único chip • Microprocessador – 8/16 bit – 1-5 MHz – Intel, Motorola, Hitachi • Capacidade equivalente a um PC 1980s 2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 6
Memórias de um cartão 2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 7
Sistema operativo • Card mask – gravado na ROM • Sistema de ficheiros hierárquico – Ficheiros – Directórios • Entradas/Saídas – Contactos – Sem contactos 2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 8
Segurança de cartões inteligentes • Mecanismos físicos • Mecanismos lógicos – Escuta analógica – PIN – Geração de faltas – ACL Ficheiros – Apagamento parcial de – Cifras memória • Simétricas – Extracção do chip • Assimétricas (pouco usadas por limitações – Microscopia computacionais) electrónica e micro sonda 2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 9
Ataque invasivo ao cartão • Banho ácido • Plataforma de teste e análise • Inspecção do circuito físico 2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 10
Cartões - síntese • Computadores “completos” • São seguros e resistentes à manipulação… – mas não são invulneráveis: • Ataques físicos • Vulnerabilidades dos algoritmos criptográficos • Engenharia social 2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 11
II. O cartão SIM na rede GSM • Durante alguns anos, os cartões inteligentes foram solução à procura de problema • Principal utilização actual • Rede móvel GSM – Roaming • Problema de confiança nas redes intermediárias • Para onde transferir a confiança? 2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 12
Rede móvel GSM • Transmissão rádio (900MHz) • Células de estações base – Reutilização de frequências • Voz • SMS – Mensagens curtas – Transmissão assíncrona com garantias • GPRS – transmissão de datagramas 2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 13
Autenticação GSM • Cartão tem chave Ki partilhada com a rede • Desafio-resposta • A3 – Autenticação, A8 – Chave Sessão, A5 – Cifra contínua 2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 14
Cartão SIM • Subscriber Identity Module • Identifica o utilizador perante a rede de origem e outras redes – De forma segura e consistente • Resistente a manipulação • Pode negociar chaves de sessão • Liberta o telefone de aspectos de subscrição de serviço e de segurança – Facilita a troca de telefone 2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 15
Plataforma para aplicações confiadas • SIM + SMS – SIM – maior infra-estrutura de chaves não governamental – SMS – único meio de comunicação de dados universal na rede GSM • Possibilita confiança nas transacções: – Autenticação e não repúdio – Integridade – Confidencialidade 2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 16
Modelos de aplicações • Máquina virtual • Micro-navegação – Byte-codes são – Byte-codes são instruções páginas – Linguagens – Linguagens procedimentais declarativas – Principais: • JavaCard – Interpretadas por • Microsoft Micro-browser Comparação: funcionalidade, administração 2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 17
III. Piloto de comércio móvel • Smart Signatures for Secure Mobile Commerce – Ergonomia – Segurança • Utilização de criptografia assimétrica – Chaves RSA – Certificação de chaves públicas 2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 18
Principais funcionalidades • Mensagens cifradas extremo-a-extremo • Mensagens assinadas digitalmente • Certificados digitais X.509 – Autoridades de certificação externas à rede móvel – Formato compacto - Mcert • Separação entre: – Chave para assinatura – Chave para confidencialidade 2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 19
Participantes no sistema • Cliente – utilizador final • Fornecedor de serviço – presta o serviço • Operador móvel – Infra-estrutura de comunicações móveis – Contrato e relação de cobrança com o cliente • Autoridade de certificação • Fabricante de cartões – SIM com coprocessador aritmético 2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 20
Exemplo de utilização * <service> messages fill-in forms service options 2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 21
Certificação e confiança • Domínios de certificação: – Card domain (CD) • Dentro da rede móvel • Para garantir a fiabilidade nos pedidos de certificados durante a utilização – Root Domain (RD) • Fora da rede móvel • Acima dos vários CD 2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 22
Gestão da vida das chaves • Chaves distintas para cifra e para assinatura • No piloto não foi implementada a revogação – Consulta de listas de certificados revogados • Certificado válido até ao fim do prazo estipulado na sua criação • Opção considerada aceitável porque: – Valor binário enclausurado no cartão – Utilização exige PIN de assinatura – Mas, e se a chave for comprometida? 2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 23
Avaliação do piloto de comércio móvel • Uso de criptografia assimétrica implica: – Autoridade de certificação para as chaves públicas • Custos administrativos – Substituição de cartões • Não é compensada por um único serviço • Os utilizadores finais não percepcionam automaticamente o valor acrescentado da assinatura digital • A ergonomia do serviço é o factor decisivo para o sucesso, mas sem comprometer a segurança 2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 24
IV. Conclusões • Cartão inteligente – Armazenamento seguro – Capacidade de processamento – Seguro mas não invulnerável – Principal aplicação: SIM – Base de uma plataforma de aplicações confiadas nas redes móveis 2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 25
Conclusões (2) • Operador móvel – Habituado a controlar e cobrar o acesso a todos os recursos e serviços da sua rede – O WAP permitiu-lhe perceber que a única coisa que realmente controla é o SIM • Motivação para serviços de valor acrescentado: – Declínio de preço da voz – Aumento de custos de evolução e manutenção da rede – Maior margem de lucro • cobra-se o serviço e não o transporte de dados 2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 26
Conclusões (3) • Requisitos a conciliar: 1) Serviços populares e acessíveis pela maioria dos clientes 2) Alto desempenho e segurança na utilização 3) Modelo de negócio com nível de preços que motive parceiros de serviços e de conteúdos, bem como os clientes • Benefícios esperados: – Valores imediatos • Cobrança de mensagens aplicacionais – Valores a longo prazo • Lealdade dos clientes, parcerias de negócios 2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 27
Perguntas e respostas “Just like television was not radio with image, mobile will not be the Internet on a phone” Scott Guthery Obrigado pela atenção. Mais informação brevemente em: http://mega.ist.utl.pt/~mflpar 2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 28

Recommandé

Interoperabilidade de cartões inteligentes
Interoperabilidade de cartões inteligentesInteroperabilidade de cartões inteligentes
Interoperabilidade de cartões inteligentesMiguel Pardal
 
Cittes de Ciencias de la Educacion EduCITTES/UTPL
Cittes de Ciencias de la Educacion EduCITTES/UTPLCittes de Ciencias de la Educacion EduCITTES/UTPL
Cittes de Ciencias de la Educacion EduCITTES/UTPLluigi43
 
Experiencias de gestion en Areas Protegidas
Experiencias de gestion en Areas ProtegidasExperiencias de gestion en Areas Protegidas
Experiencias de gestion en Areas ProtegidasPepe
 
Oficio muni
Oficio muniOficio muni
Oficio muniCiro Torres Cruz
 
Evaluacion Web
Evaluacion WebEvaluacion Web
Evaluacion WebRubberwar
 
Geografia 7º ano objetivos 1
Geografia 7º ano objetivos 1Geografia 7º ano objetivos 1
Geografia 7º ano objetivos 1Marta Vale
 
dezembro 2012 | m. l. consulting
dezembro 2012 | m. l. consultingdezembro 2012 | m. l. consulting
dezembro 2012 | m. l. consultingbnivisa
 
SmartCard Multiaplicacional
SmartCard MultiaplicacionalSmartCard Multiaplicacional
SmartCard Multiaplicacionalduartec78
 

Recommandé

Interoperabilidade de cartões inteligentes
Interoperabilidade de cartões inteligentesInteroperabilidade de cartões inteligentes
Interoperabilidade de cartões inteligentesMiguel Pardal
 
Cittes de Ciencias de la Educacion EduCITTES/UTPL
Cittes de Ciencias de la Educacion EduCITTES/UTPLCittes de Ciencias de la Educacion EduCITTES/UTPL
Cittes de Ciencias de la Educacion EduCITTES/UTPLluigi43
 
Experiencias de gestion en Areas Protegidas
Experiencias de gestion en Areas ProtegidasExperiencias de gestion en Areas Protegidas
Experiencias de gestion en Areas ProtegidasPepe
 
Oficio muni
Oficio muniOficio muni
Oficio muniCiro Torres Cruz
 
Evaluacion Web
Evaluacion WebEvaluacion Web
Evaluacion WebRubberwar
 
Geografia 7º ano objetivos 1
Geografia 7º ano objetivos 1Geografia 7º ano objetivos 1
Geografia 7º ano objetivos 1Marta Vale
 
dezembro 2012 | m. l. consulting
dezembro 2012 | m. l. consultingdezembro 2012 | m. l. consulting
dezembro 2012 | m. l. consultingbnivisa
 
SmartCard Multiaplicacional
SmartCard MultiaplicacionalSmartCard Multiaplicacional
SmartCard Multiaplicacionalduartec78
 
Smartcrypt 2017-v10
Smartcrypt 2017-v10Smartcrypt 2017-v10
Smartcrypt 2017-v10Oduvaldo Zeferino
 
Serviços baseados em dispositivos pessoais móveis
Serviços baseados em dispositivos pessoais móveisServiços baseados em dispositivos pessoais móveis
Serviços baseados em dispositivos pessoais móveisMiguel Pardal
 
IP Multimedia Subsystem - Seminário Computação Móvel
IP Multimedia Subsystem - Seminário Computação MóvelIP Multimedia Subsystem - Seminário Computação Móvel
IP Multimedia Subsystem - Seminário Computação MóvelPwC
 
A próxima geração de Seguros e a Internet das Coisas
A próxima geração de Seguros e a Internet das CoisasA próxima geração de Seguros e a Internet das Coisas
A próxima geração de Seguros e a Internet das CoisasFernando Nogueira Cesar
 
PIF2019 - A17 - Thiago Lombardi - Baumier
PIF2019 - A17 - Thiago Lombardi - BaumierPIF2019 - A17 - Thiago Lombardi - Baumier
PIF2019 - A17 - Thiago Lombardi - BaumierEvandro Gama (Prof. Dr.)
 
[CLASS 2014] Palestra Técnica - Tânia Marques
[CLASS 2014] Palestra Técnica - Tânia Marques[CLASS 2014] Palestra Técnica - Tânia Marques
[CLASS 2014] Palestra Técnica - Tânia MarquesTI Safe
 
UFF Tech 2013 - RioCard e NFC: uma convergência possível - RioCard TI
UFF Tech 2013 - RioCard e NFC: uma convergência possível - RioCard TIUFF Tech 2013 - RioCard e NFC: uma convergência possível - RioCard TI
UFF Tech 2013 - RioCard e NFC: uma convergência possível - RioCard TISti Uff
 
(In)segurança em iot no setor elétrico
(In)segurança em iot no setor elétrico(In)segurança em iot no setor elétrico
(In)segurança em iot no setor elétricoJosé Reynaldo Formigoni Filho, MSc
 
Blockchain uma nova realidade para o mundo dos Negócios
Blockchain uma nova realidade para o mundo dos NegóciosBlockchain uma nova realidade para o mundo dos Negócios
Blockchain uma nova realidade para o mundo dos NegóciosinovaDay .
 
Gsm
GsmGsm
GsmAntonio Augusto
 
ScadaBR: A ferramenta de Monitoramento e Controle mais Acessível e Barata de ...
ScadaBR: A ferramenta de Monitoramento e Controle mais Acessível e Barata de ...ScadaBR: A ferramenta de Monitoramento e Controle mais Acessível e Barata de ...
ScadaBR: A ferramenta de Monitoramento e Controle mais Acessível e Barata de ...Embarcados
 
CN.pptx
CN.pptxCN.pptx
CN.pptxPedroRuivo18
 
20070131 mgjug-enterprise java-me_netbeans_mp_nokia_juarez_junior
20070131 mgjug-enterprise java-me_netbeans_mp_nokia_juarez_junior20070131 mgjug-enterprise java-me_netbeans_mp_nokia_juarez_junior
20070131 mgjug-enterprise java-me_netbeans_mp_nokia_juarez_juniorJuarez Junior
 
Gestão de estacionamento RFid
Gestão de estacionamento RFidGestão de estacionamento RFid
Gestão de estacionamento RFidRogerio Raffanti
 
BE AWARE WEBINAR - Se a senha é fraca, como posso melhorar a autenticação da ...
BE AWARE WEBINAR - Se a senha é fraca, como posso melhorar a autenticação da ...BE AWARE WEBINAR - Se a senha é fraca, como posso melhorar a autenticação da ...
BE AWARE WEBINAR - Se a senha é fraca, como posso melhorar a autenticação da ...Symantec Brasil
 
Smart grid inovcity aparecida
Smart grid inovcity aparecidaSmart grid inovcity aparecida
Smart grid inovcity aparecidaAlexandre Rodrigues
 
Palestra GlobalSign
Palestra GlobalSignPalestra GlobalSign
Palestra GlobalSignClavis Segurança da Informação
 
Desenvolvimento 3G
Desenvolvimento 3GDesenvolvimento 3G
Desenvolvimento 3GSérgio Passos
 
Desafios do IoT
Desafios do IoTDesafios do IoT
Desafios do IoTCaio Pereira
 
Apresentação portfólio Maxtrack 2014
Apresentação portfólio Maxtrack 2014Apresentação portfólio Maxtrack 2014
Apresentação portfólio Maxtrack 2014Maxtrack Industrial
 
Master Beginners Workshop - Feb 2023
Master Beginners Workshop - Feb 2023Master Beginners Workshop - Feb 2023
Master Beginners Workshop - Feb 2023Miguel Pardal
 
Master Beginners Workshop - September 2019
Master Beginners Workshop - September 2019Master Beginners Workshop - September 2019
Master Beginners Workshop - September 2019Miguel Pardal
 

Contenu connexe

Similaire à Utilização de cartões inteligentes em aplicações móveis

Serviços baseados em dispositivos pessoais móveis
Serviços baseados em dispositivos pessoais móveisServiços baseados em dispositivos pessoais móveis
Serviços baseados em dispositivos pessoais móveisMiguel Pardal
 
IP Multimedia Subsystem - Seminário Computação Móvel
IP Multimedia Subsystem - Seminário Computação MóvelIP Multimedia Subsystem - Seminário Computação Móvel
IP Multimedia Subsystem - Seminário Computação MóvelPwC
 
A próxima geração de Seguros e a Internet das Coisas
A próxima geração de Seguros e a Internet das CoisasA próxima geração de Seguros e a Internet das Coisas
A próxima geração de Seguros e a Internet das CoisasFernando Nogueira Cesar
 
[CLASS 2014] Palestra Técnica - Tânia Marques
[CLASS 2014] Palestra Técnica - Tânia Marques[CLASS 2014] Palestra Técnica - Tânia Marques
[CLASS 2014] Palestra Técnica - Tânia MarquesTI Safe
 
UFF Tech 2013 - RioCard e NFC: uma convergência possível - RioCard TI
UFF Tech 2013 - RioCard e NFC: uma convergência possível - RioCard TIUFF Tech 2013 - RioCard e NFC: uma convergência possível - RioCard TI
UFF Tech 2013 - RioCard e NFC: uma convergência possível - RioCard TISti Uff
 
Blockchain uma nova realidade para o mundo dos Negócios
Blockchain uma nova realidade para o mundo dos NegóciosBlockchain uma nova realidade para o mundo dos Negócios
Blockchain uma nova realidade para o mundo dos NegóciosinovaDay .
 
ScadaBR: A ferramenta de Monitoramento e Controle mais Acessível e Barata de ...
ScadaBR: A ferramenta de Monitoramento e Controle mais Acessível e Barata de ...ScadaBR: A ferramenta de Monitoramento e Controle mais Acessível e Barata de ...
ScadaBR: A ferramenta de Monitoramento e Controle mais Acessível e Barata de ...Embarcados
 
20070131 mgjug-enterprise java-me_netbeans_mp_nokia_juarez_junior
20070131 mgjug-enterprise java-me_netbeans_mp_nokia_juarez_junior20070131 mgjug-enterprise java-me_netbeans_mp_nokia_juarez_junior
20070131 mgjug-enterprise java-me_netbeans_mp_nokia_juarez_juniorJuarez Junior
 
Gestão de estacionamento RFid
Gestão de estacionamento RFidGestão de estacionamento RFid
Gestão de estacionamento RFidRogerio Raffanti
 
BE AWARE WEBINAR - Se a senha é fraca, como posso melhorar a autenticação da ...
BE AWARE WEBINAR - Se a senha é fraca, como posso melhorar a autenticação da ...BE AWARE WEBINAR - Se a senha é fraca, como posso melhorar a autenticação da ...
BE AWARE WEBINAR - Se a senha é fraca, como posso melhorar a autenticação da ...Symantec Brasil
 
Apresentação portfólio Maxtrack 2014
Apresentação portfólio Maxtrack 2014Apresentação portfólio Maxtrack 2014
Apresentação portfólio Maxtrack 2014Maxtrack Industrial
 

Similaire à Utilização de cartões inteligentes em aplicações móveis (20)

Smartcrypt 2017-v10
Smartcrypt 2017-v10Smartcrypt 2017-v10
Smartcrypt 2017-v10
 
Serviços baseados em dispositivos pessoais móveis
Serviços baseados em dispositivos pessoais móveisServiços baseados em dispositivos pessoais móveis
Serviços baseados em dispositivos pessoais móveis
 
IP Multimedia Subsystem - Seminário Computação Móvel
IP Multimedia Subsystem - Seminário Computação MóvelIP Multimedia Subsystem - Seminário Computação Móvel
IP Multimedia Subsystem - Seminário Computação Móvel
 
A próxima geração de Seguros e a Internet das Coisas
A próxima geração de Seguros e a Internet das CoisasA próxima geração de Seguros e a Internet das Coisas
A próxima geração de Seguros e a Internet das Coisas
 
PIF2019 - A17 - Thiago Lombardi - Baumier
PIF2019 - A17 - Thiago Lombardi - BaumierPIF2019 - A17 - Thiago Lombardi - Baumier
PIF2019 - A17 - Thiago Lombardi - Baumier
 
[CLASS 2014] Palestra Técnica - Tânia Marques
[CLASS 2014] Palestra Técnica - Tânia Marques[CLASS 2014] Palestra Técnica - Tânia Marques
[CLASS 2014] Palestra Técnica - Tânia Marques
 
UFF Tech 2013 - RioCard e NFC: uma convergência possível - RioCard TI
UFF Tech 2013 - RioCard e NFC: uma convergência possível - RioCard TIUFF Tech 2013 - RioCard e NFC: uma convergência possível - RioCard TI
UFF Tech 2013 - RioCard e NFC: uma convergência possível - RioCard TI
 
(In)segurança em iot no setor elétrico
(In)segurança em iot no setor elétrico(In)segurança em iot no setor elétrico
(In)segurança em iot no setor elétrico
 
Blockchain uma nova realidade para o mundo dos Negócios
Blockchain uma nova realidade para o mundo dos NegóciosBlockchain uma nova realidade para o mundo dos Negócios
Blockchain uma nova realidade para o mundo dos Negócios
 
Gsm
GsmGsm
Gsm
 
ScadaBR: A ferramenta de Monitoramento e Controle mais Acessível e Barata de ...
ScadaBR: A ferramenta de Monitoramento e Controle mais Acessível e Barata de ...ScadaBR: A ferramenta de Monitoramento e Controle mais Acessível e Barata de ...
ScadaBR: A ferramenta de Monitoramento e Controle mais Acessível e Barata de ...
 
CN.pptx
CN.pptxCN.pptx
CN.pptx
 
20070131 mgjug-enterprise java-me_netbeans_mp_nokia_juarez_junior
20070131 mgjug-enterprise java-me_netbeans_mp_nokia_juarez_junior20070131 mgjug-enterprise java-me_netbeans_mp_nokia_juarez_junior
20070131 mgjug-enterprise java-me_netbeans_mp_nokia_juarez_junior
 
Gestão de estacionamento RFid
Gestão de estacionamento RFidGestão de estacionamento RFid
Gestão de estacionamento RFid
 
BE AWARE WEBINAR - Se a senha é fraca, como posso melhorar a autenticação da ...
BE AWARE WEBINAR - Se a senha é fraca, como posso melhorar a autenticação da ...BE AWARE WEBINAR - Se a senha é fraca, como posso melhorar a autenticação da ...
BE AWARE WEBINAR - Se a senha é fraca, como posso melhorar a autenticação da ...
 
Smart grid inovcity aparecida
Smart grid inovcity aparecidaSmart grid inovcity aparecida
Smart grid inovcity aparecida
 
Palestra GlobalSign
Palestra GlobalSignPalestra GlobalSign
Palestra GlobalSign
 
Desenvolvimento 3G
Desenvolvimento 3GDesenvolvimento 3G
Desenvolvimento 3G
 
Desafios do IoT
Desafios do IoTDesafios do IoT
Desafios do IoT
 
Apresentação portfólio Maxtrack 2014
Apresentação portfólio Maxtrack 2014Apresentação portfólio Maxtrack 2014
Apresentação portfólio Maxtrack 2014
 

Plus de Miguel Pardal

Master Beginners Workshop - Feb 2023
Master Beginners Workshop - Feb 2023Master Beginners Workshop - Feb 2023
Master Beginners Workshop - Feb 2023Miguel Pardal
 
Master Beginners Workshop - September 2019
Master Beginners Workshop - September 2019Master Beginners Workshop - September 2019
Master Beginners Workshop - September 2019Miguel Pardal
 
SafeCloud Secure Communication solutions (WP1 overview)
SafeCloud Secure Communication solutions (WP1 overview)SafeCloud Secure Communication solutions (WP1 overview)
SafeCloud Secure Communication solutions (WP1 overview)Miguel Pardal
 
Master Beginners' Workshop September 2018
Master Beginners' Workshop September 2018Master Beginners' Workshop September 2018
Master Beginners' Workshop September 2018Miguel Pardal
 
IoT Middleware for Precision Agriculture: workforce monitoring in olive fields
IoT Middleware for Precision Agriculture: workforce monitoring in olive fieldsIoT Middleware for Precision Agriculture: workforce monitoring in olive fields
IoT Middleware for Precision Agriculture: workforce monitoring in olive fieldsMiguel Pardal
 
Rastreabilidade na Internet das (muitas) Coisas
Rastreabilidade na Internet das (muitas) CoisasRastreabilidade na Internet das (muitas) Coisas
Rastreabilidade na Internet das (muitas) CoisasMiguel Pardal
 
Vulnerability-tolerant Transport Layer Security
Vulnerability-tolerant Transport Layer SecurityVulnerability-tolerant Transport Layer Security
Vulnerability-tolerant Transport Layer SecurityMiguel Pardal
 
Arranque Seguro de Redes 6LoWPAN para prevenir Ataques Vampiro na Internet da...
Arranque Seguro de Redes 6LoWPAN para prevenir Ataques Vampiro na Internet da...Arranque Seguro de Redes 6LoWPAN para prevenir Ataques Vampiro na Internet da...
Arranque Seguro de Redes 6LoWPAN para prevenir Ataques Vampiro na Internet da...Miguel Pardal
 
Precision Agriculture with Sensors and Technologies from the Internet of Things
Precision Agriculture with Sensors and Technologies from the Internet of ThingsPrecision Agriculture with Sensors and Technologies from the Internet of Things
Precision Agriculture with Sensors and Technologies from the Internet of ThingsMiguel Pardal
 
Smart Places INForum16 presentation
Smart Places INForum16 presentationSmart Places INForum16 presentation
Smart Places INForum16 presentationMiguel Pardal
 
Eclipse workshop presentation (March 2016)
Eclipse workshop presentation (March 2016)Eclipse workshop presentation (March 2016)
Eclipse workshop presentation (March 2016)Miguel Pardal
 
LaTeX workshop (NEB)
LaTeX workshop (NEB)LaTeX workshop (NEB)
LaTeX workshop (NEB)Miguel Pardal
 
Thesis for beginners 2015-10
Thesis for beginners 2015-10Thesis for beginners 2015-10
Thesis for beginners 2015-10Miguel Pardal
 
LaTeX workshop (JEQ)
LaTeX workshop (JEQ)LaTeX workshop (JEQ)
LaTeX workshop (JEQ)Miguel Pardal
 
Thesis for beginners
Thesis for beginnersThesis for beginners
Thesis for beginnersMiguel Pardal
 
Scalable and secure RFID data discovery
Scalable and secure RFID data discoveryScalable and secure RFID data discovery
Scalable and secure RFID data discoveryMiguel Pardal
 
Breve introdução à investigação
Breve introdução à investigaçãoBreve introdução à investigação
Breve introdução à investigaçãoMiguel Pardal
 
Eclipse workshop presentation
Eclipse workshop presentationEclipse workshop presentation
Eclipse workshop presentationMiguel Pardal
 
BEST Lisboa 2013 - The Internet of Things class
BEST Lisboa 2013 - The Internet of Things classBEST Lisboa 2013 - The Internet of Things class
BEST Lisboa 2013 - The Internet of Things classMiguel Pardal
 

Plus de Miguel Pardal (20)

Master Beginners Workshop - Feb 2023
Master Beginners Workshop - Feb 2023Master Beginners Workshop - Feb 2023
Master Beginners Workshop - Feb 2023
 
Master Beginners Workshop - September 2019
Master Beginners Workshop - September 2019Master Beginners Workshop - September 2019
Master Beginners Workshop - September 2019
 
SafeCloud Secure Communication solutions (WP1 overview)
SafeCloud Secure Communication solutions (WP1 overview)SafeCloud Secure Communication solutions (WP1 overview)
SafeCloud Secure Communication solutions (WP1 overview)
 
Master Beginners' Workshop September 2018
Master Beginners' Workshop September 2018Master Beginners' Workshop September 2018
Master Beginners' Workshop September 2018
 
IoT Middleware for Precision Agriculture: workforce monitoring in olive fields
IoT Middleware for Precision Agriculture: workforce monitoring in olive fieldsIoT Middleware for Precision Agriculture: workforce monitoring in olive fields
IoT Middleware for Precision Agriculture: workforce monitoring in olive fields
 
Rastreabilidade na Internet das (muitas) Coisas
Rastreabilidade na Internet das (muitas) CoisasRastreabilidade na Internet das (muitas) Coisas
Rastreabilidade na Internet das (muitas) Coisas
 
Vulnerability-tolerant Transport Layer Security
Vulnerability-tolerant Transport Layer SecurityVulnerability-tolerant Transport Layer Security
Vulnerability-tolerant Transport Layer Security
 
Master Beginners
Master BeginnersMaster Beginners
Master Beginners
 
Arranque Seguro de Redes 6LoWPAN para prevenir Ataques Vampiro na Internet da...
Arranque Seguro de Redes 6LoWPAN para prevenir Ataques Vampiro na Internet da...Arranque Seguro de Redes 6LoWPAN para prevenir Ataques Vampiro na Internet da...
Arranque Seguro de Redes 6LoWPAN para prevenir Ataques Vampiro na Internet da...
 
Precision Agriculture with Sensors and Technologies from the Internet of Things
Precision Agriculture with Sensors and Technologies from the Internet of ThingsPrecision Agriculture with Sensors and Technologies from the Internet of Things
Precision Agriculture with Sensors and Technologies from the Internet of Things
 
Smart Places INForum16 presentation
Smart Places INForum16 presentationSmart Places INForum16 presentation
Smart Places INForum16 presentation
 
Eclipse workshop presentation (March 2016)
Eclipse workshop presentation (March 2016)Eclipse workshop presentation (March 2016)
Eclipse workshop presentation (March 2016)
 
LaTeX workshop (NEB)
LaTeX workshop (NEB)LaTeX workshop (NEB)
LaTeX workshop (NEB)
 
Thesis for beginners 2015-10
Thesis for beginners 2015-10Thesis for beginners 2015-10
Thesis for beginners 2015-10
 
LaTeX workshop (JEQ)
LaTeX workshop (JEQ)LaTeX workshop (JEQ)
LaTeX workshop (JEQ)
 
Thesis for beginners
Thesis for beginnersThesis for beginners
Thesis for beginners
 
Scalable and secure RFID data discovery
Scalable and secure RFID data discoveryScalable and secure RFID data discovery
Scalable and secure RFID data discovery
 
Breve introdução à investigação
Breve introdução à investigaçãoBreve introdução à investigação
Breve introdução à investigação
 
Eclipse workshop presentation
Eclipse workshop presentationEclipse workshop presentation
Eclipse workshop presentation
 
BEST Lisboa 2013 - The Internet of Things class
BEST Lisboa 2013 - The Internet of Things classBEST Lisboa 2013 - The Internet of Things class
BEST Lisboa 2013 - The Internet of Things class
 

Utilização de cartões inteligentes em aplicações móveis

  • 1. Algoritmos e Aplicações de Segurança Utilização de cartões inteligentes em aplicações móveis Miguel Pardal (M5329 – mflpar@mega.ist.utl.pt) 16 de Dezembro de 2003
  • 2. Sumário I. Tecnologias de cartões II. O cartão SIM na rede GSM III. Piloto de comércio móvel IV. Conclusões 2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 2
  • 3. I. Tecnologias de Cartões • Cartão: – A maior parte das pessoas conhece e sabe utilizar – Contém identidade, acesso a serviços, outra informação… 2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 3
  • 4. Cartões magnéticos • Banda magnética contém (pouca) informação • Muito baratos • Tipo de cartão mais usado, especialmente na Banca • Guardam PIN cifrado • Validação on-line por dispositivo ligado a rede • Não há controlo de leitura e escrita na banda 2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 4
  • 5. Cartões inteligentes • Smart Cards • Permitem controlo de leitura e escrita • Relação custo-benefício começa a torná-los mais atractivos: – American Express Blue – Smart VISA Card – Lisboa Viva 2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 5
  • 6. Arquitectura de cartões inteligentes • Único chip • Microprocessador – 8/16 bit – 1-5 MHz – Intel, Motorola, Hitachi • Capacidade equivalente a um PC 1980s 2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 6
  • 7. Memórias de um cartão 2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 7
  • 8. Sistema operativo • Card mask – gravado na ROM • Sistema de ficheiros hierárquico – Ficheiros – Directórios • Entradas/Saídas – Contactos – Sem contactos 2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 8
  • 9. Segurança de cartões inteligentes • Mecanismos físicos • Mecanismos lógicos – Escuta analógica – PIN – Geração de faltas – ACL Ficheiros – Apagamento parcial de – Cifras memória • Simétricas – Extracção do chip • Assimétricas (pouco usadas por limitações – Microscopia computacionais) electrónica e micro sonda 2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 9
  • 10. Ataque invasivo ao cartão • Banho ácido • Plataforma de teste e análise • Inspecção do circuito físico 2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 10
  • 11. Cartões - síntese • Computadores “completos” • São seguros e resistentes à manipulação… – mas não são invulneráveis: • Ataques físicos • Vulnerabilidades dos algoritmos criptográficos • Engenharia social 2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 11
  • 12. II. O cartão SIM na rede GSM • Durante alguns anos, os cartões inteligentes foram solução à procura de problema • Principal utilização actual • Rede móvel GSM – Roaming • Problema de confiança nas redes intermediárias • Para onde transferir a confiança? 2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 12
  • 13. Rede móvel GSM • Transmissão rádio (900MHz) • Células de estações base – Reutilização de frequências • Voz • SMS – Mensagens curtas – Transmissão assíncrona com garantias • GPRS – transmissão de datagramas 2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 13
  • 14. Autenticação GSM • Cartão tem chave Ki partilhada com a rede • Desafio-resposta • A3 – Autenticação, A8 – Chave Sessão, A5 – Cifra contínua 2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 14
  • 15. Cartão SIM • Subscriber Identity Module • Identifica o utilizador perante a rede de origem e outras redes – De forma segura e consistente • Resistente a manipulação • Pode negociar chaves de sessão • Liberta o telefone de aspectos de subscrição de serviço e de segurança – Facilita a troca de telefone 2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 15
  • 16. Plataforma para aplicações confiadas • SIM + SMS – SIM – maior infra-estrutura de chaves não governamental – SMS – único meio de comunicação de dados universal na rede GSM • Possibilita confiança nas transacções: – Autenticação e não repúdio – Integridade – Confidencialidade 2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 16
  • 17. Modelos de aplicações • Máquina virtual • Micro-navegação – Byte-codes são – Byte-codes são instruções páginas – Linguagens – Linguagens procedimentais declarativas – Principais: • JavaCard – Interpretadas por • Microsoft Micro-browser Comparação: funcionalidade, administração 2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 17
  • 18. III. Piloto de comércio móvel • Smart Signatures for Secure Mobile Commerce – Ergonomia – Segurança • Utilização de criptografia assimétrica – Chaves RSA – Certificação de chaves públicas 2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 18
  • 19. Principais funcionalidades • Mensagens cifradas extremo-a-extremo • Mensagens assinadas digitalmente • Certificados digitais X.509 – Autoridades de certificação externas à rede móvel – Formato compacto - Mcert • Separação entre: – Chave para assinatura – Chave para confidencialidade 2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 19
  • 20. Participantes no sistema • Cliente – utilizador final • Fornecedor de serviço – presta o serviço • Operador móvel – Infra-estrutura de comunicações móveis – Contrato e relação de cobrança com o cliente • Autoridade de certificação • Fabricante de cartões – SIM com coprocessador aritmético 2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 20
  • 21. Exemplo de utilização * <service> messages fill-in forms service options 2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 21
  • 22. Certificação e confiança • Domínios de certificação: – Card domain (CD) • Dentro da rede móvel • Para garantir a fiabilidade nos pedidos de certificados durante a utilização – Root Domain (RD) • Fora da rede móvel • Acima dos vários CD 2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 22
  • 23. Gestão da vida das chaves • Chaves distintas para cifra e para assinatura • No piloto não foi implementada a revogação – Consulta de listas de certificados revogados • Certificado válido até ao fim do prazo estipulado na sua criação • Opção considerada aceitável porque: – Valor binário enclausurado no cartão – Utilização exige PIN de assinatura – Mas, e se a chave for comprometida? 2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 23
  • 24. Avaliação do piloto de comércio móvel • Uso de criptografia assimétrica implica: – Autoridade de certificação para as chaves públicas • Custos administrativos – Substituição de cartões • Não é compensada por um único serviço • Os utilizadores finais não percepcionam automaticamente o valor acrescentado da assinatura digital • A ergonomia do serviço é o factor decisivo para o sucesso, mas sem comprometer a segurança 2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 24
  • 25. IV. Conclusões • Cartão inteligente – Armazenamento seguro – Capacidade de processamento – Seguro mas não invulnerável – Principal aplicação: SIM – Base de uma plataforma de aplicações confiadas nas redes móveis 2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 25
  • 26. Conclusões (2) • Operador móvel – Habituado a controlar e cobrar o acesso a todos os recursos e serviços da sua rede – O WAP permitiu-lhe perceber que a única coisa que realmente controla é o SIM • Motivação para serviços de valor acrescentado: – Declínio de preço da voz – Aumento de custos de evolução e manutenção da rede – Maior margem de lucro • cobra-se o serviço e não o transporte de dados 2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 26
  • 27. Conclusões (3) • Requisitos a conciliar: 1) Serviços populares e acessíveis pela maioria dos clientes 2) Alto desempenho e segurança na utilização 3) Modelo de negócio com nível de preços que motive parceiros de serviços e de conteúdos, bem como os clientes • Benefícios esperados: – Valores imediatos • Cobrança de mensagens aplicacionais – Valores a longo prazo • Lealdade dos clientes, parcerias de negócios 2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 27
  • 28. Perguntas e respostas “Just like television was not radio with image, mobile will not be the Internet on a phone” Scott Guthery Obrigado pela atenção. Mais informação brevemente em: http://mega.ist.utl.pt/~mflpar 2003-12-06 AAS - Utilização de cartões inteligentes em aplicaçõ 28

Notes de l'éditeur

  1. Distinguir entre cartões de memória e cartões inteligentes ACTIVO: Quantos cartões têm?
  2. ACTIVO: Como atacar?
  3. ACTIVO: Experiência de utilização de aplicações móveis
  4. Os passos seguintes exemplificam a experiência do cliente ao utilizar um serviço de banca móvel no sistema Smart Signature : 1.      O cliente escolhe um serviço de banca móvel. 2.      O banco envia uma ordem de pagamento para o telemóvel do cliente. A mensagem está assinada e apenas o cliente a pode ler. 3.      O cliente verifica a assinatura da mensagem do banco. 4.      O cliente dá a ordem de pagamento. Para a confirmar, tem que inserir o PIN de assinatura ( signing PIN ) para aceder à sua chave privada armazenada no cartão do telemóvel. A mensagem é cifrada com a chave pública do banco para que só ele a possa ler.