Interoperabilidade de cartões inteligentes

30
Interoperabilidade de cartões inteligentes Tópicos Avançados em Sistemas de Informação Miguel Filipe Leitão Pardal ([email protected]) 16 de Julho de 2004

Transcript of Interoperabilidade de cartões inteligentes

Page 1: Interoperabilidade de cartões inteligentes

Interoperabilidade de cartões inteligentes

Tópicos Avançados emSistemas de Informação

Miguel Filipe Leitão Pardal ([email protected])

16 de Julho de 2004

Page 2: Interoperabilidade de cartões inteligentes

2004-07-16 Interoperabilidade de cartões inteligentes 2

Sumário

• Motivação

• Tecnologia

• Normas de interoperabilidade

• Casos

• Avaliação

• Conclusões

Page 3: Interoperabilidade de cartões inteligentes

2004-07-16 Interoperabilidade de cartões inteligentes 3

Sumário

• Motivação

• Tecnologia

• Normas de interoperabilidade

• Casos

• Avaliação

• Conclusões

Page 4: Interoperabilidade de cartões inteligentes

2004-07-16 Interoperabilidade de cartões inteligentes 4

Motivação

• Serviços baseados em cartões inteligentes– Com valor associado– Numa escala alargada

• O objectivo foi analisar normas de interoperabilidade, comparando aspectos técnicos e organizacionais

Page 5: Interoperabilidade de cartões inteligentes

2004-07-16 Interoperabilidade de cartões inteligentes 5

Sumário

• Motivação

• Tecnologia

• Normas de interoperabilidade

• Casos

• Avaliação

• Conclusões

Page 6: Interoperabilidade de cartões inteligentes

2004-07-16 Interoperabilidade de cartões inteligentes 6

Cartão inteligenteSmart Card

• Computador em forma de cartão– Circuitos electrónicos embebidos no plástico

• “Inteligência”– Microprocessador executa programas

• Segurança– Controlo acesso à memória

– Implementa algoritmos criptográficos• Possibilita validações em off-line

– Protecções elevadas, mas cartão não é inviolável!

Page 7: Interoperabilidade de cartões inteligentes

2004-07-16 Interoperabilidade de cartões inteligentes 7

Arquitectura de um cartão

• Semelhante à de qualquer computador digital, mas com requisitos específicos– Alta resistência física

– Baixo custo de produção

• Características típicas:– Processador 8 bit

– Memória volátil 1K, persistente 16K

– Comunicação com / sem contactos

• Capacidades actuais comparáveis a PC de 1980

Page 8: Interoperabilidade de cartões inteligentes

2004-07-16 Interoperabilidade de cartões inteligentes 8

O cartão no acesso a serviços

• Representa o utilizador, permitindo– Identificar e autenticar– Autorizar o acesso

• Exemplos: banca, transportes

Page 9: Interoperabilidade de cartões inteligentes

2004-07-16 Interoperabilidade de cartões inteligentes 9

Interoperabilidade de serviços

• Quando os sistemas colaboram nas funcionalidades necessárias à prestação de um serviço, de forma transparente para o utilizador final

• Sem interoperabilidade– 1 cartão, 1 serviço– Emissor de cartões, prestador e infra-estrutura dedicada

• Com interoperabilidade– 1 cartão, N serviços– Criação de novo valor– São necessárias normas e confiança– Construir “pontes” ao nível técnico e de negócio

Page 10: Interoperabilidade de cartões inteligentes

2004-07-16 Interoperabilidade de cartões inteligentes 10

Sumário

• Motivação

• Tecnologia

• Normas de interoperabilidade

• Casos

• Avaliação

• Conclusões

Page 11: Interoperabilidade de cartões inteligentes

2004-07-16 Interoperabilidade de cartões inteligentes 11

Normas de interoperabilidade

• Iniciativas governamentais e de indústria, com poder de decisão e investimento– Norma Europeia OSCIE– Norma Norte-Americana GSC-IS– Norma Japonesa NICSS

• Processo de análise das normas– Documentos oficiais– Pesquisa temática– Enquadramento organizacional– Resumo da abordagem à interoperabilidade

Page 12: Interoperabilidade de cartões inteligentes

2004-07-16 Interoperabilidade de cartões inteligentes 12

Norma Europeia OSCIE

• ‘Open Smart Card Infrastructure for Europe’– Patrocinada pela Comissão Europeia e pela Eurosmart

• Proposta abrangente– Requisitos sociais e legais

– Arquitectura global

– Modelo de negócio

• e-Government …

• Interoperabilidade da segurança …

Page 13: Interoperabilidade de cartões inteligentes

2004-07-16 Interoperabilidade de cartões inteligentes 15

Abordagens à interoperabilidade

• Uniformização– Eliminar diferenças técnicas entre componentes

• Adaptação– Ajustar interfaces, políticas de utilização e de segurança

Page 14: Interoperabilidade de cartões inteligentes

2004-07-16 Interoperabilidade de cartões inteligentes 16

Norma Norte-AmericanaGSC-IS

• ‘Government Smart Card Interoperability Standard’

• Portabilidade de aplicações com cartões

• Interoperabilidade técnica– Interface de programação

– Conjunto de mensagens para o cartão

– Contentores genéricos de dados

• Requisitos obrigatórios para fornecedores– Interface de extensão deixa margem de diferenciação e competição

– Limita o custo de portar aplicações, mas não o elimina totalmente

Page 15: Interoperabilidade de cartões inteligentes

2004-07-16 Interoperabilidade de cartões inteligentes 18

Norma Japonesa NICSS• ‘Next generation Integrated circuit Card System Study’

• Proposta de consórcio de indústria, apoiado pelo governo

• Apoiar o desenvolvimento de sistemas de cartões com infra-estruturas sociais e de informação

• Plataforma comum

• Famílias de cartões– Para grandes áreas de negócio

– Soluções mais simples

– Redução de custos

Page 16: Interoperabilidade de cartões inteligentes

2004-07-16 Interoperabilidade de cartões inteligentes 19

Interfaces e aplicações

• Interfaces de interoperabilidade– Para cartão e restantes componentes da plataforma

– Tornar os cartões compatíveis e os equipamentos mais baratos

• Principal aplicação– Cartão de identificação pública

– Sistema aberto a novas aplicações, desde que aprovadas pelas autoridades públicas

Page 17: Interoperabilidade de cartões inteligentes

2004-07-16 Interoperabilidade de cartões inteligentes 21

Sumário

• Motivação

• Tecnologia

• Normas de interoperabilidade

• Casos

• Avaliação

• Conclusões

Page 18: Interoperabilidade de cartões inteligentes

2004-07-16 Interoperabilidade de cartões inteligentes 22

Smart ID Hong Kong

• Cartão de identidade pública• Iniciativa governamental

– Tornar os cartões o meio de acesso privilegiado aos serviços da administração pública

• Plataforma fechada– Apenas aplicações do governo

• Certificado digital opcional– Para autenticação e assinatura digital em transacções de

comércio electrónico

Page 19: Interoperabilidade de cartões inteligentes

2004-07-16 Interoperabilidade de cartões inteligentes 23

Octopus Hong Kong

• Pequenos pagamentos– Inicialmente apenas cartão de transportes

• Aplicação de grande volume– Utilização massificada, com milhões de utilizadores

• Interoperabilidade pouco interessante– Solução proprietária

Page 20: Interoperabilidade de cartões inteligentes

2004-07-16 Interoperabilidade de cartões inteligentes 24

Sistema de transportes de Lisboa

• Transportes com vários tipos e operadores– Metropolitano, Autocarro, Comboio, Barco

• Norma Calypso– Interacções entre cartões e terminais

• Interoperabilidade na ligação dos sistemas embarcados e nos sistemas de back-office– Representação comum dos títulos de transporte

– Equipamentos terminais (validadores, pontos de venda) independentes das aplicações e do modelo de dados

Page 21: Interoperabilidade de cartões inteligentes

2004-07-16 Interoperabilidade de cartões inteligentes 25

Sumário

• Motivação

• Tecnologia

• Normas de interoperabilidade

• Casos

• Avaliação

• Conclusões

Page 22: Interoperabilidade de cartões inteligentes

2004-07-16 Interoperabilidade de cartões inteligentes 26

Avaliação das normas

• Âmbitos complementares• Cartão autenticador para comércio electrónico• Criptografia assimétrica e PKI• A interoperabilidade não é só técnica

– Dados e processos de negócio

• Riscos de normas não prescritivas– Interfaces de interoperabilidade difíceis de implementar

– Limitações impostas por mapeamento incompleto de políticas de segurança

Page 23: Interoperabilidade de cartões inteligentes

2004-07-16 Interoperabilidade de cartões inteligentes 27

Avaliação da interoperabilidade• Definição

– “Quando os sistemas colaboram na prestação do serviço de forma transparente”

– ‘Sistema’ e ‘serviço’ com interpretações distintas

• Diferentes níveis de interoperabilidade– Aplicacional e negócio

• Alinhamento semântico das entidades informacionais• Definição da política comum de segurança

– Tecnológico• Modelo de dados comum• Interfaces funcionais normalizadas• Modularização da arquitectura

Page 24: Interoperabilidade de cartões inteligentes

2004-07-16 Interoperabilidade de cartões inteligentes 28

Avaliação da utilização de cartões (1)

• Cartão e-Government– Serviços genéricos para identificação, autenticação

forte e assinatura digital sem repúdio (IAS)

– Confiança baseada em infra-estruturas de chaves públicas (PKI)

– Exemplo: Smart ID de Hong Kong

• Falta garantir qualidade e independência dos serviços IAS para permitir a sua aceitação generalizada

Page 25: Interoperabilidade de cartões inteligentes

2004-07-16 Interoperabilidade de cartões inteligentes 29

Avaliação da utilização de cartões (2)

• Cartões de utilização rápida e conveniente– Substitutos de dinheiro de bolso– Exemplos:

• Octopus de Hong Kong• Sistema de transportes de Lisboa

– Maior velocidade de interacção (transacção)– Menores valores envolvidos

• Arquitectura distribuída e sem ligação permanente a sistemas centrais

• Cartões mais baratos, com protecções inferiores

Page 26: Interoperabilidade de cartões inteligentes

2004-07-16 Interoperabilidade de cartões inteligentes 30

Avaliação da utilização de cartões (3)

• Será que um cartão único pode satisfazer todas as necessidades?– Dificuldades na protecção de dados pessoais

• Legislação

– Solução de chaves diferentes para utilizações diferentes• A quem confiar as chaves mestras?

– Solução de cartões diferenciados• Cartão principal, quando se pretende mais segurança• Cartão vulgar, quando se pretende mais rapidez e comodidade• Adequar o nível de protecção ao valor associado• Confiança decisiva no cartão principal

Page 27: Interoperabilidade de cartões inteligentes

2004-07-16 Interoperabilidade de cartões inteligentes 31

Sumário

• Motivação

• Tecnologia

• Normas de interoperabilidade

• Casos

• Avaliação

• Conclusões

Page 28: Interoperabilidade de cartões inteligentes

2004-07-16 Interoperabilidade de cartões inteligentes 32

Conclusões

• Cartão inteligente– Ligação utilizador-serviços

– Segurança acrescida

– Redução da manipulação de “papel” (materiais)

• Grande investimento mundial nesta tecnologia– Maturidade nos serviços especializados

– Apesar das iniciativas de normalização da interoperabilidade faltam casos da sua aplicação no mundo real

Page 29: Interoperabilidade de cartões inteligentes

2004-07-16 Interoperabilidade de cartões inteligentes 33

Tópicos para investigação• Cartões diferenciados

– Como compatibilizar segurança forte com utilização expedita?

• Protótipo de interoperabilidade de funções IAS de segurança– Que problemas surgem devido aos graus de liberdade nas normas?

• Plataformas de múltiplos serviços integrados– Qual a abordagem para a sua implementação generalizada?

• Dar mais “inteligência” ao cartão (applets)• Apostar nos terminais e infra-estruturas

• Trocas de dados entre organizações sem confiança total– Como garantir confiança necessária e suficiente?

• Mecanismos de protecção dos dispositivos e isolamento de dados• Certificação de equipamentos e aplicações• Auditoria

Page 30: Interoperabilidade de cartões inteligentes

2004-07-16 Interoperabilidade de cartões inteligentes 34

Perguntas e respostasPerguntas e respostas

Obrigado pela atençã[email protected]

““To be really useful all services must To be really useful all services must be easily accessed by be easily accessed by any any (…)(…) citizencitizen atat any timeany time, and in , and in any placeany place. The . The personalised tool to enable each personalised tool to enable each (…)(…) citizen to enjoycitizen to enjoy such access is their such access is their electronic Identity, their electronic Identity, their reliable key reliable key to e-servicesto e-services”.”.

Theo van SprundelTheo van Sprundel i inn OSCIE volume 3-5 OSCIE volume 3-5