Karty bankowe pod mikroskopem elektronowym

Podręczne nośniki informacji (w postaci kart z naklejonym na powierzchni paskiem ferromagnetyka) znalazły początkowo zastosowanie jako nowoczesne klucze, umożliwiające dostęp do różnorodnych skarbców. Szybko jednak także w innych dziedzinach dostrzeżono ogromne korzyści płynące ze stosowania kart.

Podręczne nośniki informacji (w postaci kart z naklejonym na powierzchni paskiem ferromagnetyka) znalazły początkowo zastosowanie jako nowoczesne klucze, umożliwiające dostęp do różnorodnych skarbców. Szybko jednak także w innych dziedzinach dostrzeżono ogromne korzyści płynące ze stosowania kart.

Informacja zapisana jest na kartach w sposób umożliwiający łatwe jej przetworzenie na standaryzowany ciąg impulsów elektrycznych, daje się łatwo odczytywać przez urządzenia automatyczne, wprowadzać do pamięci komputerów i przetwarzać z minimalnym udziałem człowieka. Do jej odczytania potrzebna jest znajomość haseł zabezpieczających, niewątpliwie trudniejszych do podrobienia niż informacja zapisywana i przechowywana tradycyjnie na papierze. Tego rodzaju nośniki informacji mają postać standaryzowanych kart o wymiarach 53,97x85,6 mm (zgodnie z normami zaakceptowanymi przez ISO oraz ANSI). Fizycznym medium do przechowywania danych może być ścieżka ferromagnetyka (na kartach magnetycznych), układ pamięci półprzewodnikowych (na kartach inteligentnych) lub warstwa polimeru - na kartach laserowych. Karty znalazły najszersze zastosowanie we wspomaganiu operacji finansowych.

Historia karty magnetycznej liczy już ok. 30 lat. Początkowo służyła jako prosty identyfikator. Z upływem czasu zaczęto coraz szerzej wykorzystywać jej możliwości, poszerzając zakres zastosowań.

Obecnie, poza bankami, karty stosuje się jako identyfikatory umożliwiające dostęp do specjalnych informacji, urządzeń lub pomieszczeń, które nie powinny być - z różnych względów ogólnodostępne oraz jako nośniki informacji specjalnego znaczenia. Karta magnetyczna jest tylko częścią systemu.

Instalacja systemów wykorzystujących karty magnetyczne w operacjach bankowych w Polsce dopiero się zaczyna. Stanowisk kasowych, wyposażonych w czytniki kart magnetycznych jest do tej pory niewiele, a spośród kilkudziesięciu bankomatów już zainstalowanych, większość znajduje się w budynkach będących siedzibami banków. Dokonywanie transakcji z użyciem karty magnetycznej wymaga zawsze połączenia "on-line" z bankiem, albowiem w bankowym serwerze następuje właściwa jej realizacja, a obsługa transakcji zorganizowana jest w taki sposób, że najwyższy priorytet w kolejce do serwera mają transakcje opiewające na największe kwoty. Jak stąd wynika, karta magnetyczna nie jest dobrym rozwiązaniem w przypadku drobnych płatności.

Przy stanie polskiej sieci telekomunikacyjnej dokonywanie transakcji trwałoby bardzo długo lub...jeszcze dłużej. Wszystko wskazuje na to, że koniec telekomunikacyjnej zapaści nastąpi w Polsce dopiero z końcem monopolu TP SA. Nie dziwi więc, dlaczego większość bankomatów umieszczono w siedzibach banków.

Bezpieczeństwo kart magnetycznych. Niemal od początku pojawił się inny problem - podrabianie kart. Bezpieczeństwo danych, zawartych na karcie magnetycznej, mimo stosowania wielu sposobów zabezpieczeń pozostawia wiele do życzenia. Przede wszystkim zawartość karty magnetycznej łatwo jest skopiować, prostsze typy kart dają się skopiować nawet na niewielki kawałek taśmy magnetowidowej. Właściciele systemów kart kredytowych oczywiście biorą pod uwagę w swoich szacunkach skuteczność różnych systemów zabezpieczeń np.: umieszczają na jej powierzchni holograficzny obraz jakiegoś znaku, tłoczone symbole, specjalny nadruk lub wtopione w plastik karty zdjęcie jej właściciela. Jednak zewnętrzna identyfikacja karty jest łatwa do podrobienia. Typową kartę magnetyczną pokazano na rys. 1. Poza obszarem zawierającym magnetyczny nośnik informacji, widoczne są, umieszczone przez emitenta, zewnętrzne znaki identyfikacyjne.

Dysponując kopią karty, można zająć się próbami złamania sposobu zakodowania nie tylko informacji, ale także PIN (Personal Identification Number). Hackerzy potrafią wiele, a posiadając kopię karty i znając PIN uzyskuje się swobodny dostęp do konta - bez wiedzy właściciela i banku. Podejmowane są próby wprowadzania dodatkowych zabezpieczeń, jak np. elektroniczny podpis, czy system fabrycznej magnetycznej identyfikacji karty zapisywany w procesie jej produkcji (water mark), ale skuteczność ich na dłuższą metę wydaje się być wątpliwa. Oba te sposoby wymagają stosowania specjalnych czytników i dodatkowego wyposażenia. Trwałość zapisanych na karcie informacji wynosi tyle, ile dla dysków elastycznych, czyli 1 rok. Po tym okresie karta powinna być wymieniona na nową.

Straty ponoszone z powodu niedoskonałości systemu kart magnetycznych są dość wysokie. Szacuje się, że w 1992 r. w obiegu było ok. 180 mln kart jednego z większych towarzystw kredytowych, którego straty z tytułu niedoskonałości karty magnetycznej wyniosły 55 mln USD. W br. przewiduje się je na ok. 100 mln USD, a szacunki (uwzględniające wzrost liczby kart w obiegu) na 1994 r. sięgają 1 mld USD. Ciekawostką ilustrującą pomysłowość "piratów magnetycznych" było odkrycie w USA fałszywego bankomatu, który wypłacając prawdziwe pieniądze rejestrował dane zapisane na kartach oraz ich kody PIN. Według ekspertów bankowych, największego zagrożenia bezpieczeństwa systemów kart należy oczekiwać ze strony dalekowschodnich "tygrysów".

Karty inteligentne

W miarę postępów miniaturyzacji w przemyśle elektronicznym i pokonywaniu kolejnych "stopni integracji" opracowano nowy typ kart, w których zastąpiono tradycyjny, magnetyczny nośnik informacji nośnikiem półprzewodnikowym. Idea takiej karty zrodziła się już w 1974 r. Firma Bull we współpracy z Motorolą na przełomie lat 1979/1980, rozpoczęła prace konstrukcyjne nad modułem pamięci z procesorem dla karty inteligentnej, który nazwano CP8. Pierwsze karty inteligentne pojawiły się w obiegu w 1986 r. Karty inteligentne, (karty procesorowe, chip-cards, smart-cards), rozmiarami swoimi nie różnią się od kart magnetycznych, mają wbudowany układ scalony (chip). Na rys. 2. pokazano jej wygląd ogólny. Mały, podzielony na segmenty kwadracik to pole kontaktowe, poprzez które odbywa się komunikacja WE/WY. Stopnie skomplikowania takiego układu (i jego cena) mogą być różne. Do przechowywania ważniejszych informacji służą z reguły karty droższe, o rozbudowanej strukturze wewnętrznej. Zapewniają one wyższy stopień bezpieczeństwa danych.

Najprostsze karty zawierają jedynie proste układy pamięciowe, (są to tzw. Simple Memory Cards). Takie karty wykorzystywane są głównie jako żetony telefoniczne i bilety wieloprzejazdowe. Karty z prostymi zabezpieczeniami pamięci: Controlled Memory oraz Personalized Memory Cards, wykorzystywane są jako identyfikatory i karty dostępu (do utajnionych informacji, pomieszczeń, itp). Karty COS (Chip Operating System) są wyposażone w procesor, który wraz z odpowiednim oprogramowaniem broni dostępu do zastrzeżonych obszarów pamięci. Karty procesorowe wykonywane są w technologii CMOS i zawierają obszary pamięci EPROM, w których zapisane są informacje stałe, umieszczone przez wytwórcę oraz obszary pamięci EEPROM (kasowalnej elektrycznie). Strukturę pamięci karty procesorowej pokazuje rys. 3. Dostęp do obszaru własnego programu karty ma tylko mikroprocesor. Dostęp do obszaru danych jest również możliwy tylko poprzez mikroprocesor. Pojemność pamięci wynosi od 256 bitów dla kart najprostszych, do 64 kB dla kart służących do bardziej wyszukanych celów. Fotolitografia rentgenowska, stosowana ostatnio na większą skalę w technologii półprzewodników pozwoliła na zwiększenie obszaru pamięci karty do 64 kB.

Trwałość zapisu jest taka sama jak w komputerowych pamięciach EEPROM i wynosi 10 lat. Najmniej trwałym elementem na takiej karcie jest pole kontaktowe - mały, podzielony na segmenty pozłacany kwadracik. Według wytwórców kart, kontakty wytrzymują 10 tys. "sesji" odczytu-zapisu, co wystarcza na ponad 3 lata intensywnego używania karty. Wydłużenia tego okresu można oczekiwać po wprowadzeniu nowego typu sprzężeń karty z czytnikiem. Obecnie trwają prace nad bezkontaktowymi sprzęgami indukcyjnymi i pojemnościowymi. Ten sposób pozwoli na kilkakrotne przedłużenie trwałości karty.

"Włamanie się" do wnętrza karty procesorowej jest bardzo mało prawdopodobne: trzykrotne podanie złego hasła blokuje do niej dostęp bezpowrotnie. Skopiowanie zaś jej zawartości wymaga stosowania metod "reverse engineering", co jest kosztowne, czasochłonne, nie gwarantuje powodzenia i bezpowrotnie niszczy kartę.

Wysoki stopień bezpieczeństwa zapisanych informacji pozwala na rezygnację z połączenia on-line podczas dokonywania płatności za pomocą karty inteligentnej. Dokończenie transakcji - przekazanie informacji serwerowi bankowemu może nastąpić później, podczas jednej sesji połączeń, w czasie której serwer otrzyma informacje o operacjach finansowych, wykonywanych w jakimś okresie czasu, np. przez cały dzień. Znika zatem widmo kolejek do serwera w wypadku dużej liczby niewielkich transakcji. A więc karta inteligentna może być idealnym rozwiązaniem w realizacji niewielkich codziennych płatności - może stanowić np. wygodną, "elektroniczną portmonetkę", w której zamiast gotówki znajduje się informacja o stanie konta jej posiadacza, a płatności realizowane są przez odejmowanie kolejnych sum od kwoty ogólnej, zapisanej w jej wnętrzu.

Karty procesorowe są dziesięciokrotnie droższe od kart magnetycznych. Cena ich waha się od 1,5-15 USD, (połowę kosztów pochłania cena procesora), jednak analiza kosztów poszczególnych faz wytwarzania i obsługi kart z uwzględnieniem ich trwałości przemawia jednoznacznie (ze wskaźnikiem 0,15:1) na korzyść kart inteligentnych.

Prace obecnie prowadzone mają na celu skonstruowanie kart wielozadaniowych, a rozwój mikroelektroniki pozwala sądzić, że pojedyncza karta, może w przyszłości, poza funkcjami finansowymi, pełnić także rolę np. klucza do domu, samochodu, karty parkingowej, karty zdrowia, itp.

Karty optyczne, laserowe

Z rozwojem komputerowych pamięci optycznych zastosowano tę technikę do zapisu i odczytu danych na kartach, które nazwano laserowymi. Pierwsze karty powstały w 1988 r. Wyglądem swoim i formatem karta laserowa nie różni się od standardowej karty kredytowej, na której zamiast paska z ferromagnetyka umieszczono nośnik pozwalający na laserowy zapis i odczyt informacji (rys. 4). Szeroki pasek, zajmujący znaczną część jej powierzchni stanowi optyczny nośnik informacji. Karta wykonana jest z poliwęglanów i akrylu, dzięki czemu jest bardzo trwała, a zapisane na niej informacje są praktycznie niezniszczalne - chyba tylko razem z całą kartą. Optyczny zapis typu WORM (Write Once Read Many) jest niewrażliwy na zmiany pól magnetycznych, a niemożność jego fizycznego skasowania pozwala na prześledzenie wszystkich prowadzonych na karcie zapisów. Wykorzystywanie laserów półprzewodnikowych do zapisu informacji pozwoliło także na zwiększenie gęstości zapisu. Na karcie laserowej można zapisać aż 4,1 MB informacji, co oznacza, że w takiej małej karcie mieści się notatnik o pojemności 1600 stron znormalizowanego maszynopisu. Zastosowanie technik kompresji tekstu pozwala zwiększyć tę pojemność dziesięciokrotnie. W wypadku wykorzystywania karty do zadań specjalnych, gdy zapisywane na niej dane są cenne, zapis może odbywać się z zastosowaniem kodu EDAC (Error Detection And Control). Nawet w tym przypadku do dyspozycji użytkownika pozostaje aż 2,9 MB wolnego miejsca.

Czytniki kart laserowych mogą być używane również jako urządzenia zapisujące. Wyposażone są w laser półprzewodnikowy, który może pracować w dwóch przedziałach mocy: odczyt następuje przy niskiej mocy emitowanej wiązki światła (0,5 mW), a zapis przy 10 mW. Czytnik skonstruowano w sposób umożliwiający podłączenie go bezpośrednio do komputera PC poprzez RS 232C lub SCSI. Oprogramowanie obsługi czytnika odczytu/zapisu jest "przezroczyste" dla systemu operacyjnego, który traktuje czytnik jako kolejny dysk logiczny.

Zabezpieczenia takiej karty, podobnie jak magnetycznej, zrealizowano na 2 poziomach. Zewnętrzne znaki identyfikacyjne to: nadruki, wytłoczenia i fotografie. Personalizacja wewnętrzna to: poza niewidoczną dla oka fotografią właściciela podpis elektroniczny i odcisk jego palca, zapamiętany w postaci cyfrowej na karcie. Służy do tego specjalny skaner, będący dodatkowym wyposażeniem systemu kart optycznych. Oprogramowanie karty żąda kilkakrotnego wczytania odcisku palca, a następnie "uczy się" go rozpoznawać. Po zapisaniu odcisku na karcie, dostęp do pozostałych zawartych na niej informacji możliwy jest dopiero po rozpoznaniu odcisku palca właściciela. Taki sposób zabezpieczenia wydaje się pewniejszy niż elektroniczny podpis. Nawet skopiowanie całej karty na niewiele się zda. Chyba, że uda się wygrawerować na gumowej rękawiczce odcisk palca faktycznego właściciela karty.

Ze względu na ogromną trwałość zapisu i dużą pojemność, karty laserowe mogą mieć zastosowanie w bardzo wielu dziedzinach. Jako przykłady podać można (poza zastosowaniami bankowymi, które są oczywiste):

- służbę zdrowia, gdzie karta może stanowić pojemną kartotekę zdrowia pacjenta, w której poza informacjami o leczeniu znajdzie się także miejsce na obrazy RTG, USG, przebiegi EKG, itp. wyniki różnych badań diagnostycznych.

- ewidencję samochodów; karta laserowa ze swoją pojemnością i trwałością mogłaby stanowić "książkę pojazdu", w której byłyby zapisane informacje o typie i marce samochodu, kolejnych jego właścicielach, historii napraw technicznych i zmian dokonywanych w trakcie eksploatacji, ubezpieczeniach, itd.

- rozliczania odpraw celnych; na karcie mogłyby się znaleźć kopie wszystkich wymaganych podczas odpraw celnych dokumentów, upoważnień, itp. Ponadto karty laserowe mogą służyć jako:

- karty identyfikacyjne

- elektroniczne mapy i dokumenty

- wieloprzejazdowe bilety, itd.

Jak widać, dzięki swojej ogromnej pojemności, trwałości zapisanej informacji i niewrażliwości na czynniki zewnętrzne, karty laserowe znajdą chyba najwięcej zastosowań.

Wracając do polskich banków i do niezbędnej, niezawodnej sieci połączeń telekomunikacyjnych. Wydaje się, że można by się wreszcie czegoś dobrego nauczyć od banków zachodnich (ucząc się na ich błędach). Przyszłość systemów kart magnetycznych wydaje się już być przesądzona - banki zachodnie przechodzić będą powoli na inne, pewniejsze systemy kart. ?wiadczą o tym choćby straty ponoszone przez banki-właścicieli systemów kart magnetycznych. Nie będzie to z pewnością rewolucja, lecz powolna eliminacja kart magnetycznych na rzecz kart laserowych i inteligentnych.

Jako ciekawostki należy podać, że w RPA już ponad 30% drobnych płatności realizowanych jest przez systemy kart inteligentnych, a Związek Banków Francuskich w 1990 r. podjął decyzję o powolnym przejściu na system kart inteligentnych.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200