Smart card

Da Wikipedia, l'enciclopedia libera.
Smartcard.gif

La smart card è un dispositivo hardware delle dimensioni di una carta di credito che possiede potenzialità di elaborazione e memorizzazione dati ad alta sicurezza. Più in generale, il termine smart card sottintende un insieme di tecnologie, comprendenti circuiti integrati, microprocessori, memorie RAM, ROM, EEPROM, antenne, ecc., integrate nello stesso circuito elettrico per formare un microchip che è il "cuore" della smart card.

La smart card è costituita da un supporto di plastica nel quale è incastonato un microchip connesso ad un'interfaccia di collegamento che può essere una contattiera o un'antenna. Il microchip fornisce funzionalità di calcolo e memorizzazione dati; la contattiera o l'antenna consentono al microchip di dialogare con uno speciale terminale di lettura collegato solitamente ad un computer mediante porta seriale, parallela, USB, ecc.

La storia[modifica | modifica sorgente]

L'idea di incapsulare un circuito integrato in un supporto di plastica fu introdotta nel 1968 da due inventori tedeschi: Jürgen Dethloff e Helmut Grötrupp. Negli anni settanta furono registrati i primi brevetti da parte di diverse aziende e gruppi di ricerca, ma solo alle soglie degli anni ottanta Bull (allora CII-Honeywell-Bull) mise in commercio il primo prototipo di smart card e introdusse le smart card a microprocessore.

Le prime applicazioni, su card in PVC, con smart card furono realizzate in Francia e Germania all'inizio degli anni ottanta dove le smart card furono adoperate come carte telefoniche prepagate e come carte bancarie di credito/debito ad alta sicurezza, la produzione delle quali ha dei cicli di produzione piuttosto lunghi rispetto alla classica stampa di tipografia. Tali applicazioni mostrarono la grande capacità di resistenza ad attacchi e la considerevole flessibilità delle smart card e traghettarono la nuova e vincente tecnologia verso i recenti sviluppi in ambito GSM e Web.

Negli ultimi anni le nuove tecniche di miniaturizzazione, mediante le quali è stato possibile produrre microchip sempre più piccoli a costi sempre più bassi, hanno consentito di realizzare smart card più potenti dotate di coprocessore crittografico e di buone capacità di memoria a costi accessibili. Tale disponibilità ha avviato una fase di notevole e sorprendente sviluppo che è partita dall'implementazione delle SIM card in ambito GSM fino ad arrivare alla realizzazione della carta d'identità elettronica, delle carte di credito "intelligenti" e dei titoli di viaggio elettronici.

Le specifiche tecniche standard[modifica | modifica sorgente]

Lo standard internazionale ISO 7816, denominato "Identification Cards - Integrated circuit(s) cards with contact", definisce le caratteristiche fisiche, elettriche e operative delle smart card a microprocessore e a sola memoria con contatti elettrici (contact). Gli standard ISO 14443 e ISO 15693 sono invece quelli utilizzati per le contactless smartcard.

Classificazione[modifica | modifica sorgente]

Le smart card possono essere classificate in base a diversi criteri:

  • sulla base delle potenzialità e delle caratteristiche del microchip, si distinguono smart card a sola memoria (Memory Card) e smart card a microprocessore (Microprocessor Card);
  • sulla base del tipo di interfaccia di collegamento, si distinguono smart card con contattiera (Contact), smart card con antenna (Contacless smartcard) e smart card con antenna e contattiera (Dual Interface Card).

Le caratteristiche del microchip determinano sia il costo della smart card, sia l'ambito di applicazione. Le smart card a sola memoria, tecnologicamente più semplici, sono più economiche ma offrono un livello di sicurezza più basso rispetto alle smart card a microprocessore e pertanto sono usate tipicamente per conservare dati che non necessitano di protezione "forte". Le caratteristiche del supporto di plastica e dell'interfaccia di comunicazione determinano invece il ciclo di vita della smart card.

Memory card[modifica | modifica sorgente]

La memory card, o smart card a sola memoria, offre unicamente funzionalità di memorizzazione sicura dei dati. Il microchip contiene una componente di memoria permanente nella quale si può leggere e scrivere attraverso un insieme di funzioni cablate in un circuito logico pre-programmato, stampato nel microchip durante la fase di produzione. Il circuito logico a sua volta comprende un meccanismo di protezione che salvaguarda l'accesso ai dati memorizzati basato tipicamente su un insieme di permessi di accesso. Tipicamente le memory card offrono circa da 1 a 4 kByte di memoria e sono usate principalmente per applicazioni semplici quali carte prepagate, carte per la raccolta punti, ecc. In questi casi, il meccanismo di protezione consente di evitare l'incremento fraudolento del credito.

I comandi per la lettura e scrittura in memoria sono tipicamente sequenze di byte incapsulate in un protocollo seriale. Il vantaggio delle memory card sta nel loro basso costo dovuto alla semplicità della tecnologia adottata. Tuttavia, per applicazioni più complesse che richiedono un livello di sicurezza maggiore, si preferisce usare smart card a microprocessore.

Microprocessor card[modifica | modifica sorgente]

La smart card a microprocessore, grazie alla potenza di calcolo fornita da un microprocessore incluso nel microchip, può essere paragonata ad un piccolo computer portatile altamente affidabile e inattaccabile in grado di elaborare e memorizzare informazioni salvaguardandone la riservatezza.

Nella memoria del microchip è installato un sistema operativo che implementa la logica operativa della smart card. In particolare il sistema operativo si occupa della gestione interna della memoria e fornisce varie funzioni tra le quali lettura e scrittura in memoria, funzioni di programmazione dei permessi di accesso, funzioni crittografiche, ecc. La programmabilità del microchip conseguente alla presenza di un sistema operativo, consente di ottimizzare e personalizzare la smart card per una particolare applicazione o di integrare sullo stesso dispositivo più applicazioni (eventualmente interagenti tra loro). L'unico limite a tale flessibilità è rappresentato dalla disponibilità di risorse di memoria.

Il set di comandi di una smart card a microprocessore è molto più vasto di quello di una smart card a sola memoria. Oltre ai comandi di lettura e scrittura, le smart card a microprocessore forniscono comandi di gestione dell'accesso alla memoria (es. comandi di verifica del PIN) e comandi di gestione del file system interno. Il singolo comando viene chiamato APDU (Application Protocol Data Unit). Grazie alla capacità di memorizzare informazioni in maniera estremamente sicura e inviolabile e alla possibilità di elaborare dati al suo interno, la smart card a microprocessore si propone in primo luogo come strumento informatico di identificazione sicura e certificata degli individui; in secondo luogo come dispositivo di elaborazione a supporto della crittografia in grado di memorizzare e proteggere le chiavi crittografiche private e di eseguire i principali algoritmi crittografici.

Contact e contactless card[modifica | modifica sorgente]

La differenza tra le smart card contact e contactless sta nel tipo di interfaccia di collegamento esistente tra il microchip e il mondo esterno.

Le prime hanno una contattiera mediante la quale ricevono l'alimentazione e dialogano con l'esterno una volta inserite in un apposito dispositivo terminale detto lettore di smart card.

Le seconde hanno un'antenna che reagisce alla presenza di un campo elettromagnetico emesso da uno speciale dispositivo di lettura/scrittura nella banda delle radio-frequenze (con tecnologia RFID), consentendo al microchip di scambiare dati con l'esterno (purché l'antenna si trovi entro una distanza minima dal dispositivo di lettura/scrittura).

Le smart card dual-interface offrono entrambe le interfacce contact e contacless e pertanto la comunicazione con il microchip può avvenire indifferentemente mediante una o l'altra. Tale caratteristica consente di integrare sulla stessa smart card sia applicazioni complesse come quelle di firma digitale tipiche delle smart card contact, sia applicazioni più semplici e veloci, come quelle di controllo dell'accesso ad aree riservate, che richiedono esclusivamente accessi alla memoria wireless.

La smart card a supporto della crittografia[modifica | modifica sorgente]

La smart card a microprocessore, grazie alle caratteristiche di protezione dei dati intrinseche del microchip e alla presenza di un coprocessore crittografico che gli consente di eseguire le principali funzioni crittografiche on-board, si propone come il mezzo adeguato a proteggere le chiavi private rilanciando la crittografia come supporto tecnologico di base per lo sviluppo di sistemi informatici sicuri e riproponendo in maniera decisa la firma digitale come un sicuro e insostituibile strumento per l'autenticazione e l'identificazione degli individui, per la verifica dell'integrità di insiemi di dati e per il non ripudio delle transazioni.

Le applicazioni[modifica | modifica sorgente]

Differenti tipi di contatti in smart card e SIM

Le applicazioni con smart card coprono numerosi campi che vanno dal settore pubblico, a quello privato e quello delle telecomunicazioni. In ogni caso le smart card sono usate principalmente per la memorizzazione sicura dei dati e per autenticare e proteggere le transazioni elettroniche.

Di seguito sono descritte le principali applicazioni implementate mediante smart card:

Telefonia fissa[modifica | modifica sorgente]

In questo ambito la smart card è usata principalmente come carta prepagata grazie alle sue caratteristiche di inviolabilità.

Telefonia mobile[modifica | modifica sorgente]

Lo standard GSM ha introdotto il concetto di SIM (Subscriber Identity Module) che rappresenta un dispositivo portabile di identificazione dell'utente. La SIM conserva le informazioni di identificazione degli utenti e genera le chiavi crittografiche usate per cifrare la trasmissione digitale della voce. Pertanto può essere inserita in cellulari diversi presentando al gestore telefonico sempre la stessa identità.

I requisiti funzionali delle SIM corrispondono perfettamente con le funzionalità offerte dalle smart card e pertanto, l'implementazione su smart card (con supporto di plastica di dimensioni ridotte) è stata una scelta naturale. Analoghe considerazioni si applicano in ambito UMTS dove le USIM sono l'evoluzione delle SIM.

Le banche[modifica | modifica sorgente]

In ambito bancario le smart card sono state dapprima utilizzate soprattutto come borsellini elettronici, denaro elettronico e poi, negli ultimi anni come carte di credito. Considerando che un borsellino elettronico deve consentire il caricamento, la memorizzazione e l'uso del credito evitando nello stesso tempo clonazioni e modifiche fraudolente del credito, le smart card rappresentano ancora una volta la soluzione ottimale che soddisfa tutti i requisiti. A conferma di ciò si ricordano le numerose implementazioni di borsellino elettronico tra cui: VisaCash e Mondex in UK, Geldkarte in Germania, Minipay in Italia e Moneo in Francia. Per quanto riguarda invece le carte di credito, le smart card hanno oggi sostituito le vecchie carte a banda magnetica facilmente clonabili. Nello specifico Visa, MasterCard e Europay hanno pubblicato le specifiche EMV che definiscono tra le altre cose i dettagli tecnici di una carta di credito a microchip.

E-government[modifica | modifica sorgente]

In quest'ambito le smart card sono state utilizzate principalmente come strumento di identificazione e di memorizzazione di informazioni personali. Il procedimento solitamente avviene attraverso l'inserimento di un codice PIN ma recentemente, grazie all'Istituto di Informatica e Telematica del Consiglio Nazionale delle Ricerche di Pisa è stata elaborata una nuova applicazione che sostituisce al PIN i dati biometrici (Impronte digitali in particolare ma anche Iride, volto e voce) del titolare della Smart Card. Tale procedimento, chiamato Match-On-Card, aumenta la sicurezza delle procedure, consentendo la verifica dell'identità del titolare attraverso il confronto fra l'impronta digitale, ad esempio, e la stessa contenuta nella Smart Card rendendone impossibile la manomissione ed eliminando il rischio che le informazioni personali vengano intercettate da possibili 'pirati', poiché esse non lasciano mai il supporto né attraversano alcun canale di comunicazione. Al momento della consegna della carta, l'impronta digitale del titolare viene codificata e memorizzata (Enrollment) per essere poi verificata attraverso un lettore di impronte, simile a quelli presenti all'ingresso di alcune banche.

Tra le numerose realizzazione si ricordano passaporti e carte di identità elettronici, carta nazionale dei servizi, carte sanitarie elettroniche (health cards), carte pensione (social security cards), schede elettorali elettroniche, carte di firma digitale a valore legale, ecc.

Si noti che, sebbene i dati memorizzati non siano manomissibili, se all'atto dell'emissione della smart card il titolare è stato identificato tramite un documento tradizionale che è possibile falsificare, quale carta d'identità o patente di guida rilasciata dalla Prefettura, si ha solo un falso senso di sicurezza, in quanto si è mantenuto esattamente lo stesso punto debole dei sistemi che si intende migliorare.

Trasporti[modifica | modifica sorgente]

Nei trasporti pubblici le smart card (soprattutto quelle di tipo contactless) sono impiegate per ospitare titoli di viaggio elettronici nei sistemi di bigliettazione elettronica. Tipicamente sono utilizzate come biglietti prepagati multicorsa, come "borsellino elettronico" o in sostituzione degli abbonamenti (sono invece poco utilizzate per le corse semplici per via del costo della componente elettronica, difficilmente ammortizzabile su un titolo con prezzo basso come la corsa semplice). Nei trasporti privati invece le smart card sono spesso utilizzate come carte di pagamento per i parcheggi pubblici. In alcune realtà esistono sistemi di trasporto pubblico integrati con quello della sosta, che consentono l'integrazione dei pagamenti dei due servizi tramite un unico strumento dato da una smart card appositamente realizzata.

Pay TV[modifica | modifica sorgente]

Smartcard vengono molto spesso fornite ai consumatori per permettere la visione in chiaro di programmi o canali a pagamento diffusi via satellite o digitale terrestre, tipicamente dopo aver sottoscritto un abbonamento. La capacità di calcolo e la sicurezza della smartcard assicurano all'operatore TV che una volta terminata la sottoscrizione l'accesso al contenuto protetto non sia più possibile.

Militare[modifica | modifica sorgente]

In questo settore le smart card hanno consentito di realizzare la carta multiservizi della Difesa (CMD) che rappresenta sia un vero e proprio documento di riconoscimento del personale militare e del personale civile dipendente dal Ministero della Difesa, sia un contenitore di informazioni personali tra cui informazioni sanitarie (estremamente utili in caso di ferimento durante un'operazione di guerra), informazioni relative al grado e al corpo di appartenenza, informazioni relativi alla firma digitale, ecc.

Settore privato[modifica | modifica sorgente]

In tale ambito, le principali necessità riguardano il controllo dell'accesso ad aree riservate, il controllo dell'accesso alle reti e ai sistemi di calcolo (autenticazione e firewalling) e la protezione delle postazioni di lavoro (tipicamente personal computer) mediante sistemi di login sicuro e cifratura dei dati sensibili.

Bibliografia[modifica | modifica sorgente]

  • "Programmazione delle Smart Card", Seconda Edizione, Ugo Chirico, Lulu, 2013 [1]

Voci correlate[modifica | modifica sorgente]

Altri progetti[modifica | modifica sorgente]