Design von Chipkartenanwendungen Steffen Reschwamm Andreas Knorre Stefan Winkler Metin Oduncu

Design von Chipkartenanwendungen Übersicht:   Allgemeines zum Systemdesign   Chipkarten im Gesundheitssystem   Chipkarten an Hochschulen   Chipkarten in Mobilfunknetzen

Festlegung der Ziele einer Chipkarteneinführung zUmsatzsteigerungen zneue Produkte und Dienstleistungen zZugangsregelungen zRationalisierung administrativer Aufgaben

Ausgangssituationen zEntwurf eines völlig neuen Chipkartensystemes yD1 D2, zuerst nur Standard nun weltweit zChipkarte löst ein anderes Medium ab yBargeld -> Geldkarte zeine existierende Karte wird mit einem Chip versehen yVisa plant eine chipbasierte Kreditkarte

Ausgangssituationen zZusammenführen von Funktionen verschiedener Systeme yAirplus + Telefonkarte yC-Tel, d.h. C-Netz und Telefonkarte

Strategische Entscheidungen zWichtige Entscheidungen, die große Auswirkungen auf die technische Realisierung, die rechtliche Auslegung und die Organisation des Systemes und die zukünftigen Entwicklungen, sollten möglichst früh getroffen werden.

Systempartner zRegelung der Aufgaben und Kompetenzen innerhalb des Projektes zEntsprechend dem Aufgabenanteil Finanzierungensanzeile zangemessen Präsentation der Partner in Form von Logos

Systemkomponenten und Funktionalität zArt und Notwendig der verarbeiteten Daten zdaraus Funktionalität des Systems, also Standalone oder verteilte Datenhaltung zoffline o. online Verarbeitung zWahl der Systeme für die Datenhaltung und der Übertragungsmedien

Wahl der Kartentechnik zHeterogenes oder homogenes Kartensystem zMagnetstreifen oder Chipkarten oder kombinierte Karte zArt der Kartenzugriffe, lesend oder schreibend zAnzahl der Applicationen auf der Karte

Kompatibilität zu anderen System zWelche Funktionen oder überhaupt sollen anderene Systemen zugänglich sein zWenn Verarbeitung in anderen Systemen, dann vertragliche Regelungen treffen

Systemsicherung zsichere Datenbank zSichere Übertragungskanäle und Endgeräte zIst es notwendig, die Echtheit der Karte durch optische oder chemische Merkmale zu prüfen zAuswahl einer Pin

Datenschutz zWerden in einem System personenbezogene Daten verarbeitet, sind die gängigen Gesetze zum Datenschutz zu beachten zEs gilt der Perönlichkeitsschutz und das Persönlichkeitsrecht ö.s.ä. ztechnische Einrichtungen haben Mindeststandards zu erfüllen

Personenbezogene Daten zWerden personenbezogene Daten in einem System verarbeitet, dann: ydürfen die Daten nicht anwendungsfremd verarbeitet werden, auch wenn das System dies zu lassen würde ( z.B.Verhaltensauswertung ) ydarf die Person durch gespeicherte Daten nicht benachteiligt werden

Erweiterungs- möglichkeiten zFunktionalitätserweiterungen auf Karte oder im System zAlle Möglichkeiten auf einmal oder step by step -> möglicherweise Einführungen von Kartengenerationen ?

Noch einige Fakten zVorurteil, CK-System seien teuer, Hauptkostenfaktor: Chip z aber wie üblich werden mit der Zeit die Technologiekosten sinken z Schecktransaktionen kosten im Schnitt 1.5USD zKosten für Bargeldhandling in GB 800 mio. Einzelhandel und 2500 mio für Banken

Beispiel Kreditkartengesellschaft zBenötigt eine KK-Gesellschaft ein CK System ? yMeisten Verluste durch mangelnde Bonität, y-> Online Prüfung yChipkarten können bei Kartenfälschungen helfen yPrüfung: CK gerechtfertigt durch Reduzierung von Verlusten durch falschen Karten und Onlinekosten?

Beispiel Kartentelefone zKartentelefon: Rentabilitätsgrenze bei Geräten und 1000 Karten pro Gerät/Jahr z In Frankreich Verringerung von Vandalismusschäden an Kartentelefonen: von /1985 -> 5.000/1987 -> 500/1994

Verteilung von Daten zDie Entscheidung über die Verteilung von Daten auf Chipkarten oder Datenbanken hat großen Einfluß auf die Eigenschaften und Sicherheit des Gesamtsystems. Sie kann nicht pauschal erfolgen, sondern ist von Fall zu Fall unterschiedlich zu treffen.

Verteilung von Daten zMöglich ist:  Die Chipkarte ist eine identifizierende Karte, nur eine Art Ausweis gegenüber einem Hintergrundsystem, und enthält nur ein Datenelement zur Identifikation.  Die benötigten Daten sind alle auf der Karte gespeichert  Eine Mischung aus beiden

Verteilung von Daten zDaten in der Datenbank (identifizierende Karte):  Der Karteninhaber hat keine Einflußmöglichkeit auf die Sicherheit des Gesamtsystems  Großes zentrales Hintergrundsystem mit Verbindung zu all seinen Terminals nötig  Einfache Erweiterbarkeit/Integration von/in vorhandene Systeme  Relativ einfacher Ersatz bei Verlust der Karte

Verteilung von Daten zDaten auf der Chipkarte:  Die Sicherheit der Daten liegt in der Verantwortung des Karteninhabers (Gefahr bei Verlust)  Dezentrales System mit kleineren Terminals möglich, die nicht vernetzt sein müssen  Die Benutzung des Systems kann anonym geschehen  Größerer Aufwand bei der Erweiterung der Funktionalität / Ersatz einer Karte

Chipkartenanwendungen Chipkarten im Gesundheitssystem

zDer Gesetzgeber unterscheidet: yGesetzliche Krankenversichertenkarten xDienen als Versicherungsnachweis gegenüber dem Arzt xMaschinenlesbarer Datenträger yFreiwillige Gesundheitskarten xZur Speicherung von Patientendaten wie Röntgenbilder, Blutwerte,...

Die Krankenversichertenkarte zMerkmale:  Sehr große Verbreitung  Reine Speicherkarte  Erweiterbar für zukünftige Entwicklungen

Planung und Realisierung zUrsprüngliche Planung:  Magnetstreifenkarte  Patientenspezifische Daten auf der Karte wie Blutgruppe oder bestehende Allergien  Dadurch Karte auch als Notfallausweis verwendbar

Planung und Realisierung zRealisierung:  Wegen der besseren Erweiterbarkeit Chipkarte statt Magnetkarte  Keine dem Versicherten unbekannte Informationen auf der Karte  Keine Möglichkeit, unautorisiert weitere Daten zu schreiben  Nur folgende personenbezogene Informationen:

Informationen auf der Karte

Sicherheit zSicherheiten der Karte:  Arztpraxen und Krankenkassen haben nur lesenden Zugriff  Nur spezielle Verwaltungsterminals der Kassen können schreibend zugreifen  Kontrollmöglichkeit anhand der auf den Kartenkörper aufgedruckten Daten  Sonst keinerlei Sicherheitseinrichtungen

Freiwillige Gesundheitskarten zEinsatzmöglichkeiten: yKarte zur Speicherung von allgemeinen Gesundheitsdaten, die an möglichst viele Patienten ausgegeben wird yKarte für Patienten, die an einer bestimmten Krankheit leiden (z. B. Dialyse-Card, Diab-Card, Krebsnachsorgekarte,...)

Freiwillige Gesundheitskarten zDie Datenschutzbeauftragten des Bundes und der Länder erkennen eine besondere Schutzwürdigkeit medizinischer Daten und sehen folgende Probleme: xSozialer Druck auf die Versicherten, die Karte mitzuführen und vorzuzeigen xGefahr einer pauschalen Offenbarung von medizinischen Daten xDer Patient muß für die Sicherheit seiner medizinischen Daten selbst sorgen

Bedingungen des Datenschutzes zVoraussetzung für die Zulassung: yDie freiwillige Gesundheitskarte darf nicht die gesetzliche Krankenversichertenkarte verdrängen oder ersetzen yDie Zuteilung einer Gesundheitskarte und die Speicherung von Daten bedarf der schriftlichen Einwilligung yKeine zentralen medizinischen Datensammlungen

Bedingungen des Datenschutzes yDer Patient muß frei entscheiden können,  ob Daten auf einer Chipkarte gespeichert werden  welche der Gesundheitsdaten auf die Karte aufgenommen werden  welche Daten auf der Karte wieder gelöscht werden  ob die Karte bei einem Arztbesuch bzw. einem Apothekenbesuch vorgelegt wird  welche Daten im Einzelfall zugänglich gemacht werden

Bedingungen des Datenschutzes yDie Freiheit der Entscheidung bedeutet insbesondere:  Verweigert der Versicherte die Benutzung der Karte dürfen keine Nachteile entstehen  Die Versicherungen dürfen keinerlei finanzielle Anreize, Bonuspunkte oder sonstige Vergünstigungen gewähren  Die Versicherungen dürfen keinerlei Leistungen verweigern oder auch nur erschweren

Bedingungen des Datenschutzes yIntegrität und Authentizität der Daten muß gewährleistet werden:  Protokollierung der Lösch- und Schreibvorgänge auf der Karte  Verwendung von kryptologischen Verfahren sowie geeigneten Betriebssystemen zur Abschottung unterschiedlicher Anwendungsbereiche  Bei der Gesundheits-Chipkarte, wie auch im Gesamtsystem muß der gleiche hohe Sicherheitsstandard erreicht werden

Charakteristik zGesetzliche Krankenversichertenkarte: yWeist den Patienten gegenüber dem Arzt aus yErsatz bei Verlust ist problemlos yBenutzung ist nicht anonym möglich yaber: Kein großes Hintergrundsystem nötig!

Charakteristik zFreiwillige Gesundheitskarte: ySicherheit der Daten liegt in der Hand des Patienten yProblematisch bei Ersatz der Karte yZumindest theoretisch auch anonym benutzbar yProblematisch bei der Speicherung/Abschottung verschiedenartiger Daten

Studentenkarten zUni Bochum zUni Trier Vorgestellt an zwei Beispielen:

Uni Bochum ( Pilotprojekt für Nordrhein-Westfalen)

Auf der Karte gespeichert werden:   Gültigkeit & Studierendenstatus   Matrikelnummer   Name, Vorname und Geburtsdatum   Adresse   Hochschulsemester, Studiengänge & Fächer   Netzzugang ( ID & Passwort )   Bibliotheksstatus   Wertmarkenzähler ( in separatem „dedicated file“)   Signaturinformation (RSA-Schlüsselpaar, 768 bit,CRT)   relevante Teile des Zertifikats

Uni Bochum ( Pilotprojekt für Nordrhein-Westfalen) Nicht auf der Karte gespeichert werden:  Abschlüsse und Noten  Ausleihstatus beinhaltet nur, ob Belastungen existieren ( z.B. Ausleihen ), nicht aber welcher Art diese sind! ( z.B. Ausleihen ), nicht aber welcher Art diese sind!

Uni Bochum ( Pilotprojekt für Nordrhein-Westfalen) Eingesetzte Sicherheitsmechanismen:  Trennung der Studierendendaten von den Geldbörsendaten  gegenseitige Authentisierung von Terminal und Karte  Absicherung durch 3DES  verschlüsselte Übertragung  Session Keys  abgeleitete Schlüssel

Uni Trier Vorderseite: Rückseite:

Uni Trier Grundsatzentscheidung zwischen:  hochschuleigener Karte und  kontoungebundener Geldkarte Aus Kosten/Nutzenbetrachtung Entscheidung für „kontoungebundene Geldkarte“, ohne die Funktionalität der Zusatzanwendungen zu reduzieren. Weitere Vorteile durch Nutzung der Geldkartenfunktionalität auch ausserhalb der Hochschule. Erstmalige Benutzung eines Thermo-Chrome-Streifens auf einer kontoungebundenen Geldkarte. Entscheidung über die Kartenart

Uni Trier Überlegungen zur Kartensicherheit   Auf dem Chip selbst befindet sich nur ein einziges personenbezogenes Datenfeld mit der Matrikelnummer   In Verbindung mit einer fünfstelligen-PIN-Nummer, die der Studierende selbst vergeben und jederzeit ändern kann, wird sichergestellt, daß alle administrativen Anwendungen nur von dem berechtigten Studierenden durchgeführt werden können   Von den Studierenden vergessene PIN-Nummern können von der Hochschulverwaltung nicht ausgelesen werden   Die PIN kann jedoch auf einen allgemeinen Wert zurückgesetzt werden, so dass der Studierende dann wieder eine neue Geheimnummer vergeben kann   Jeder Studierende muss sich bei der erstmaligen Nutzung der Karte an einem SB-Terminal mit seinem Geburtsdatum "identifizieren“, erst wenn dies richtig eingegeben wurde, ist eine PIN – Vergabe möglich. Bei dreimaliger Falscheingabe von Geburtsdatum oder PIN wird die Karte gesperrt   Absegnung des Gesamtprojekts durch den Datenschutzbeauftragten des Landes Rheinland-Pfalz und den Datenschutzbeauftragten der Universität

Uni Trier  Ausweisfunktion(realisiert)  Benutzung des ÖPNV(realisiert)  Schnittstelle Bibliotheksfunktion(realisiert)  Rückmeldefunktion(realisiert)  Adressänderung(realisiert)  Ausdruck von Bescheinigungen(realisiert)  Abfrage von Klausurergebnissen  Anmeldung zu Klausuren  Zugang zu Rechnern, Zutritt zu Räumen  Durchführung von Hochschulwahlen  Ausleihe Sprachlabor  Anwendungen für Bedienstete Anwendungen

Uni Trier  (realisiert)  alle Geschäfte außerhalb der Universität (bundesweit) (realisiert)  (realisiert)  Kosten für Kopierer, Laserdrucker (realisiert)  (realisiert)  Mensa und Cafeterien (realisiert)  (realisiert)  Sozial- und Studierendenschaftsbeitrag (realisiert)  (realisiert)  Benutzungsgebühren Hochschulsport (realisiert)  (realisiert)  Säumnis- und Fernleihgebühren (realisiert)   Verkauf von Scripten, Unterrichtsmaterialien   Einsatz der kontoungebundenen Geldkarte als Telefonkarte Zahlungsfunktionen

Uni Trier   überstürzte Planung und Realisierung ( um Zuschuss zu erhalten )   Angst vor Anwendungen, die später dazukommen könnten...   Kosten würden fast ausschliesslich von den Studierenden getragen, den Nutzen haben jedoch vorrangig Verwaltung und Studentenwerk   Freiwilligkeit ist nicht gegeben   Zu grosse Kontrollmöglichkeiten über die Studierenden   Nutzungs- und Bewegungsprofile könnten erstellt werden   wer Karte verliert, kann zunächst nicht mehr am Uni-Leben teilnehmen Bedenken der ASTA

Chipkarten im GSM-Netz zGSM-Netz (Global System for Mobile Communication) zSIM (Subscriber Identification Module) zDatenschutz und Datensicherheit im Mobilfunk

GSM zUrsprünglich: Europäischer Standard für Mobil-telefone l Anschluß an diesen Standard von immer mehr Ländern weltweit (heute: über 110 Länder) l Spezifikation begann 1982 und wurde dann bei ETSI (Telecommunications Standards Institute) weitergeführt l Spezifikation der Chipkarte für GSM begann 1988 in der SIMEG (Subscriber Identication Module Expert Group)

GSM l Das GSM-Netz ist ein im 900 MHz (D1, D2) und 1800 MHz (E+) arbeitendes, digitales Mobiltelefonnetz l Der Aufbau ist zellular l D1, D2 : kreisrunde Zellen mit bis zu 30 KM Durchmesser l Um ein Land der Größe von Deutschland (ca km²) vollständig zu versorgen, sind ca sich überlappende Zellen nötig l E+: kreisrunde Zellen bis max. 20 KM Durchmesser, wegen geringerer Sendeleistung

GSM - Grundlegender Aufbau Switching System Authentication Center Mobile Switching Center Home Location Register Visitor Location Register Base Station Controller Base Transceiver Station Base Station System Mobile Equipment Subscriber Identity Module Mobile Station Telephone Network

SIM - Subscriber Identity Module zChipkarte (Smart Card) im Mobiltelefon l 2 verschiedene Kartenformen (ID1 - Plug In) l Aufgabe: Zugang zum Netz nur berechtigten Personen gewähren, um eine funktionsfähige Gebührenabrechnung zu schaffen l Muß 2 Funktionen erfüllen können: l Daten speichern und den Zugang zu diesen Daten schützen l Einen kryptographischen Algorithmus unter sicheren Bedingungen ausführen l SIM wird vom jeweiligen Netzbetreiber authentisiert => einseitig Authentisierung des SIMs durch das Hintergrundsystem

SIM l Daten auf der Luftschnittstelle werden verschlüsselt übertragen => unbefugtes Abhören der Daten nicht möglich l SMs (Short Messages) können im SIM abgespeichert und wieder ausgelesen werden l Identifizierung des SIM mit einer im gesamten GSM-System einzigartigen Nummer, die max. 8 Byte lang ist = IMSI (International Mobile Subscriber Identity) l Weltweite Identifizierung des Teilnehmers in allen GSM-Netzen l Wenn möglich wird eine TMSI (Temporary Mobile Subscriber Identity) vergeben l Aus IMSI werden die kartenindividuellen Schlüssel für Authenti-sierung und Verschlüsselung abgeleitet

SIM l Die Verschlüsselung der Daten wird nicht auf der Karte gemacht, da Berechnungs- und Übertragungskapazität nicht ausreichen l SIM errechnet einen temporären und abgeleiteten Schlüssel, die an das Mobile Equipment (Mobil-Telefon) weitergegeben werden l ME kann eine Ver- und Entschlüsselung der Sprachdaten in Echtzeit vornehmen

Datensicherheit und Datenschutz Kryptografische Funktionen des SIM im GSM-Netz: SIM (Chipkarte) LuftschnittstelleHintergrundsystem IMSI / TMSI Zufallszahl (RND) SR Ki RNDSR Ki RNDKc Ki RNDSR‘ Ki= ƒ(IMSI, TMSI) SR=SR‘ ? Nein Teilnehmer nicht authentisiert, Abbruch der Verbindung Ja Teilnehmer ist authentisiert

Datensicherheit und Datenschutz Kryptografische Funktionen des SIM im GSM-Netz: SIM (Chipkarte) LuftschnittstelleHintergrundsystem ME Mobile Equipment Kc Sprachdaten enc (Kc; Sprachdaten) Kc

Vereinfachter Datei-Baum einer GSM-Karte: DateitypFIDStruktur, GrößeBeschreibung MF'3F00' Wurzelverzeichnis EF ICCID '2FE'transparent, 10 ByteIdentifikationsnr. der Chipkarte DF TELECOM '7F10' DF Telekom EF ADN '6F3A'linear fixed, x ByteKurzrufnummern EF FDN '6F3B'linear fixed, x ByteFestrufnummern EF LND '6F44'cyclic, x Byteletzte gewählte Rufnummer EF SMSS '6F43'linear fixed, x ByteZustand der gesp. Kurzmitt. EF SMSP '6F42'linear fixed, x ByteEinst. für die Kurzmitteilungen EF SMS '6F3C'linear fixed, 176 ByteKurzmitteilungen DF GSM '7F20' EF LP '6F05'transparent, x ByteBevorzugte Sprache EF KC '6F20'transparent, 9 ByteSchlüssel Kc EF SPN '6F46'transparent, 17 ByteService Provider Name EF PUCT '6F41'transparent, 5 BytePreis der Einheiten und Währung EF SST '6F38'transparent, 4 ByteSIM service table EF IMSI '6F07'transparent, 9 ByteIMSI EF LOCI '6F7E'transparent, 11 ByteTMSI + Ortsinformation EF PHASE '6FAE'transparentPhaseninformationen über GSM

Datensicherheit und Datenschutz l Risiken bei der Übertragung von Daten mittels mobiler Telekommunikations-Dienste: l Luftschnittstelle bietet keine physikalische Abschirmung vor Mithören und Aufzeichnen l Bei Verbindungsaufbau oder Erreichbarkeit, müssen die Kommuni- kationspartner geortet werden á Standortinformationen könnten vom Netzbetreiber, oder von Dritten zur Bildung von sog. Bewegungsprofilen mißbraucht werden l Durch die digitale Übertragung und Verschlüsselung in GSM-Netzen ist ein Abhören der Gespräche nicht einfach, aber prinzipiell möglich, da der Schutz hier auf Geheimhaltung der Verschlüsselungsalgorithmen beruht.