Смарт-карта — это физическая карта, способная обрабатывать и хранить данные. Она обязательно содержит чип памяти, а в большинстве случаев на современных картах к чипу добавляют микропроцессор.
Существует два основных вида смарт-карт: контактные и бесконтактные. Первые требуют физического контакта со считывателем, например через USB. Вторые взаимодействуют через RFID-метки или технологию NFC (Near-field communication). Также бывают гибридные смарт-карты, способные работать как с контактным, так и с бесконтактным интерфейсом.
Смарт-карты доступны в различных форм-факторах: пластиковые карты, брелоки, часы, модули идентификации абонентов и USB-токены.
Смарт-карты используются для решения широкого спектра задач, большинство из которых связаны с управлением идентификацией и доступом. Проще говоря, смарт-карты логично использовать в том случае, когда необходимо ограничить доступ к ресурсу. Этим ресурсом может быть что угодно: банковский счет, дверь в жилой комплекс, доступ к Wi-Fi, оплата проезда в общественном транспорте.
Банковское дело — одна из наиболее распространенных сфер применения смарт-карт, большинству они известны как кредитные и дебетовые платежные карты. Наверное, шире распространены только SIM-карты в мобильных телефонах, которые представляют собой смарт-карты уменьшенного размера.
В здравоохранении смарт-карты помогают перейти от бумажных носителей к электронным. Подобные карты уже используют для того, чтобы хранить на них историю болезни пациентов. Государственные учреждения, бизнес-офисы и некоторые университеты используют смарт-карты для проверки личности. Бизнес все чаще применяет смарт-карту в качестве USB-токена безопасности, чтобы реализовать многофакторную аутентификацию пользователей.
Благодаря встроенному чипу смарт-карты умеют хранить большие объемы данных. А карты со встроенным микроконтроллером способны выполнять такие функции, как шифрование и взаимная аутентификация, и интеллектуально взаимодействовать со считывателем смарт-карт.
Смарт-карты работают исключительно в связке с терминалом, которым может быть ваш телефон, ноутбук, считыватель в метро или банкомат. Именно терминал обеспечивает карту электричеством и посылает ей команды. При этом смарт-карта не инициирует коммуникацию, она способна только отвечать на любые посланные ей команды.
На логическом уровне смарт-карта работает по международному стандарту ISO/IEC 7816. На физическом уровне карты регулируются целым пулом стандартов, например контактные коммуницируют в рамках ISO7816-3 T=0 и T=1, а бесконтактные работают по ISO/IEC 14443 (на расстоянии менее 10 см, на частоте 13,56 МГц).
За счет того, что смарт-карты объединяют в себе возможности шифрования и безопасного хранения данных, они оказываются устойчивыми к несанкционированному доступу. К примеру, контактные смарт-карты трудно подделать — без уникального чипа, который невозможно купить на рынке, у злоумышленников не получится проводить финансовые операции.
Поэтому ИБ-риски, связанные со смарт-картами, сводятся к двум случаям: кража или потеря. В случае, если что-то из этого произошло, достаточно заблокировать конкретную карту, причем современные технологии позволяют это сделать молниеносно. И тогда злоумышленники не получат доступ к конфиденциальной информации, а владелец смарт-карты не потеряет свои учетные данные.
Чтобы защитить карты от несанкционированного доступа, их производители, как правило, используют ключи трех уровней: эмитента, пользователя и приложений. И в зависимости от конкретной команды задействуется либо один из них, либо комбинация. Например, чтобы снять блокировку, нужен ключ эмитента, для выполнения транзакции понадобится ключ пользователя, а ключ приложений хранит отдельные данные, к которым иногда обращается терминал.
Информация на смарт-карте хранится в зашифрованном виде, а обмен данными защищен алгоритмами симметричного шифрования. Смарт-карты способны обеспечить генерацию и безопасное хранение ключей, хеширование и цифровую подпись. Например, система, основанная на технологии смарт-карт, позволяет создать цифровую подпись для электронного письма, которая, в свою очередь, гарантирует его подлинность.
В отдельных случаях смарт-карты можно использовать для безопасного хранения биометрических шаблонов. Например, пользователь сможет хранить шаблоны отпечатков пальцев на карте, а не в центральной базе данных, тем самым снижая риск утечки этих данных.
Многие из современных смарт-карт и устройств сертифицированы на соответствие отраслевым и государственным стандартам безопасности. Эти сертификаты помогают системам защищать конфиденциальность, гарантируя, что функции безопасности и конфиденциальности аппаратного и программного обеспечения работают в соответствии с нормативами.