Технология существует уже довольно давно, но ее широкое применение еще впереди
Смарт-карты (микропроцессорные карточки) существуют уже более двадцати лет, но отсутствие четких стандартов и слаборазвитая инфраструктура поддержки по-прежнему препятствуют их широкому применению.
Разработчики значительно продвинулись вперед в специализации смарт-карт. В настоящее время карточки используются для звонков из телефонов-автоматов, совершения банковских операций, хранения личной информации о здоровье, для доступа в Web, а также в системах сетевой безопасности. Все это создает сильную фрагментацию рынка.
Что действительно нужно - это карточки единого образца, сочетающие в себе большое количество функций; это расширит спектр их применения и будет способствовать их использованию как в организациях, так и частными лицами. Но для воплощения этого проекта в жизнь потребуется время.
Альфа и омега смарт-карт
Размер и форма смарт-карт унифицированы, но их электронная “начинка” значительно различается. Карточка может быть очень простой, как, например, телефонная, содержащая 1 Кб перепрограммируемой памяти (EPROM). В то же время есть и такие карточки, в которых имеется 8-разрядный микропроцессор, 256 байт ОЗУ, 16 Кб ПЗУ и 8 Кб электрически стираемой перепрограммируемой памяти (EEPROM).
В смарт-картах более высокого класса, как правило, используется специальный процессор, который можно настроить для выполнения конкретных задач, например шифрования, со скоростью, значительно превышающей скорость работы обычных процессоров. В карточках может храниться не только информация о количестве денег (как, например, в телефонных картах и карточках для безналичных расчетов Mondex, использующихся в Европе), но и цифровой код для идентификации ее владельца и личный криптографический ключ для подписи электронных документов. Доступ к данным, хранимым в карточке, контролируется с помощью пользовательского пароля, подобного тому, что используется в банкоматах.
Одним из основных достоинств смарт-карт является их портативность, что чрезвычайно удобно для разъездных работников. Например, смарт-карта может служить для идентификации человека при входе в корпоративную сеть, независимо от его местонахождения и от того, на каком компьютере он работает. Это позволяет избежать сложностей, связанных с переносом криптографического ключа с одного компьютера на другой, для чего обычно приходится носить с собой дискету. Кроме личного ключа пользователь может записать в смарт-карту и данные, используемые для подписи электронной почты в любом месте и в любой почтовой программе.
К сожалению, нехватка соответствующих стандартов замедлила разработку смарт-карт. Размеры карточек, расположение контактов для чтения информации и способы взаимодействия карточек и считывающих устройств были определены для них в протоколе ISO 7816. Но вопросы, касающиеся операционных систем для микропроцессоров смарт-карт и интерфейсов прикладного программирования (API) для работы с картами, до сих пор остаются нерешенными.
Стандарты на финансовые карты развивались быстрее остальных. Спецификации EMV, выработанные компаниями Europay, MasterCard и Visa, стали де-факто стандартом на системы электронных платежей, обеспечивающим функционирование всех смарт-карт в любом терминале, независимо от местоположения обслуживающей финансовой организации и производителя.
При разработке смарт-карт особое внимание уделяется и вопросам безопасности: ведется работа по созданию различных системных API, предназначенных для использования криптографических ключей, записанных в карточках. Корпорация Netscape Communications приобрела у корпорации Intel технологию Common Data Security Architecture и собирается использовать ее в своих Web-клиентах и серверах; кроме того, компания объединилась с фирмами Gemplus и VeriSign для создания системы, в которой применяются смарт-карты и цифровые сертификаты. Эта система будет продемонстрирована на конференции RSA Data Security.
Корпорация Microsoft ведет совместную работу с другими членами организации PC/SC Workgroup (фирмой Schlumberger Electronic Transactions, компаниями Bull CP8, Hewlett-Packard и Siemens Nixdorf) по созданию стандартов для взаимодействия смарт-карт и ПК, включая спецификации для шифрования с использованием API Crypto.
В дополнение к описанию схем безопасности документы PC/SC Workgroup описывают и API для работы со считывающими устройствами посредством ПК, а также API высокого уровня для создания ПО для смарт-карт.
Началась продажа нескольких систем, выполняющих все клиентские и серверные операции, связанные со смарт-картами. Союз ImagineCard Alliance, в который входят компании Gemplus, HP и Informix Software, создал системы для аутентификации с помощью смарт-карт, а также разработал несколько систем масштаба предприятия (например, ImagineCard Corporate) для организации доступа к системным ресурсам и документам. В эти системы, кроме самих карточек, считывающих устройств и прикладного ПО, входят программы для управления распространением карточек и сопутствующей информацией.
Хотя пользователи и могут придумать множество способов применения смарт-карт, оборудования, необходимого для воплощения их мечтаний в жизнь, по-прежнему не хватает, к тому же оно часто оказывается несовместимым. Очень немногие из поставляемых сегодня ПК имеют периферийные устройства для чтения смарт-карт.
Тем не менее рынок этих устройств быстро расширяется: корпорация Fischer International Systems представила устройство Smarty, устанавливаемое в обычный дисковод гибких дисков; считывающее устройство SwapSmart фирмы SCM Microsystems помещается в разъем для PC-карт; корпорция Key Tronic планирует установить считывающее устройство на некоторых своих моделях клавиатур для ПК.
Чтобы упростить для потребителей использование смарт-карт и предоставить домашним пользователям возможность осуществлять ATM-подобные транзакции, фирма Hayes Microcomputer Products объединила модем со считывающим устройством. А фирма VeriFone с той же целью в прошлом году анонсировала устройство чтения P-ATM (Personal-ATM) и систему VeriSmart, которая даст возможность использовать смарт-карты с компьютерами, смарт-телефонами и цифровыми телевизионными приставками.
Цены на смарт-карты и устройства для чтения зависят от их возможностей и степени безопасности. Оптовые цены на защищенные карточки, содержащие только память, составляют около 25 центов, карты с микропроцессорами стоят 3 - 4 долл., а карты с шифрующим процессором - от 6 до 7 долл. За простые считывающие устройства с протяжкой карты придется заплатить уже около 45 долл., а розничная цена аппарата с микроконтроллером и клавиатурой для ввода пароля составляет 79 долл.
Сетевой компьютер (СК) идеально подходит для использования преимуществ смарт-карт. Некоторые поставщики СК предсказывают, что смарт-карты будут служить не только для идентификации пользователя в сети, но и для хранения файлов вместо дискового накопителя. В качестве первого шага в осуществлении проекта интеграции СК и смарт-карт корпорация IBM и фирмы Network Computers и Sun Microsystems недавно анонсировали OpenCard Framework - набор инструкций для разработчиков СК.
При столь большом количестве систем на основе смарт-карт, использующих различные стандарты и ПО, карточки и терминалы зачастую оказываются несовместимыми. Одним из возможных решений, на которое поставщики и разработчики смарт-карт все сильнее обращают внимание, является использование языка Java.
Корпорация Sun выпустила версию 2.0 своего API Java Card, его одобрили Citibank, First Union National Bank, Schlumberger и другие производители смарт-карт, в том числе VeriFone и Visa.
Java Card 2.0 предусматривает возможность чтения одним терминалом карточек разного назначения, а также совместное использование инфраструктуры для выпуска карточек различных марок. Кроме того, с помощью языка Java компании, выпускающие смарт-карты, смогут без труда обновлять информацию и ПО, записанные на них.
Открытое обсуждение Java Card 2.0 должно пройти во II квартале, окончание работы над спецификациями намечено на III квартал, а первые образцы появятся в конце 1997 г.
Рождение карт на основе Java
Между тем многие ведущие производители карточек уже разрабатывают смарт-карты, основанные на Java; их выпуск ожидается в середине года. Карта CyberFlex фирмы Schlumberger будет поддерживать протокол Secure Electronic Transactions для обеспечения безопасности финансовых операций. Корпорация Spyrus в июне должна была начать продажу карточки, поддерживающей несколько алгоритмов шифрования, а GemPlus уже представила смарт-карту JCOST, совместимую с API Java Card.
Но язык Java - это не только единое кросс-платформное решение, он еще предоставляет производителям карточек безопасные средства для загрузки в смарт-карты обновленных приложений и информации через свои сети.
Производители и пользователи надеются, что Java сможет наконец сделать универсальные смарт-карты такими же распространенными, как карточки для банкоматов.
Дэйв Козюр