Benutzer:Chochil/Baustelle

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen

Artikel Multiapplikativen Prozessorkarte 2.0

[Bearbeiten | Quelltext bearbeiten]
Multiapplikative Karte für VDV-KA

Generell versteht man unter einer Multiapplikativen Prozessorkarte ein RFID-Identifikationsmedium mit einer kompletten Microcontroller-Architektur. Im weiteren Sinne also ein kompletter Computer mit einem Speicher, den man mit Applets (Java-Software) programmieren kann. Wird eine Prozessorkarte in das elektrische Feld eines RFID-Lesers gehalten, wird sie mit Energie versorgt und startet genau wie ein PC und lädt zunächst das Betriebssystem und führt dann die Programme (Applets) aus.

Werden mehrere Anwendungen auf dieser Karte ausgeführt, spricht man von einer Multiapplikativen Prozessorkarte, die sich gegenüber den Lese-/Schreibeinheiten eines Herstellers (Integrators) so verhält, als wäre sie eine gewöhnliche RFID-Karte, die von ihm ausgegeben wurde. Ein Trusted Service (TrustOffice) vermittelt zwischen der Organisation, die die Multiapplikative Prozessorkarte herausgibt und den jeweiligen Integratoren. Somit bleibt die Systemhoheit beim Herausgeber.

Dadurch ergeben sich ganz neue Anwendungsbereiche gegenüber den konventionellen RFID-Karten, die dagegen ein reines Speichermedium (freier und verschlüsselter Bereich) sind.

Vereinfachtes Blockschaltbild

Die Prozessorkarte ist vergleichbar mit einem einfachen Computer. Über die Antenne wird eine Spannung induziert, die dann zur Versorgung für die Prozessorkarte aufbereitet und reguliert wird. Die Antenne dient sowohl zum Empfang als auch zum Senden von Daten. Die Übertragung erfolgt mit Lastmodulation gemäss ISO/IEC 14443. Eine weitere Komponente konvertiert das Signal bidirektional.

Neben der CPU spielen die verschiedenen Programmspeicher und die kryptologischen Koprozessoren eine wesentliche Rolle. Das ROM beeinhaltet das Basisprogramm, vergleichbar mit dem BIOS in einem PC, das die CPU zum Starten benötigt, im EEPROM werden die Anwendungen (Applets) und nichtflüchtige Daten gespeichert. Das RAM dient als temporärer Speicher bei der Programmausführung. Die MMU regelt die Verwaltung zwischen CPU und den Speichern.

Die Koprozessoren für die Verschlüsselung beruhen auf dem Data Encryption Standard DES. TripleDES oder 3DES ist eine besondere Form davon, wobei die DES Verschlüsselung mehrfach mit verschiedenen Schlüsseln angewendet wird. Da die Prozessorkarten auch mit einem Dualinterface, also kontaklos und kontaktbehaftet, ausgeliefert wird, befindet sich auch ein PKI-Koprozessor mit an Bord. PKI steht für Public-Key-Infrastruktur und kann digitale Zertifikate ausstellen und prüfen.

Um nun also auf bestimmte Speicherbereiche (Segmente oder Container), Funktionalitäten und Programme der Prozessorkarte zugreifen zu können, benötigt man die entsprechenden Schlüssel. Im Gegensatz zu einer reinen MIFARE Karte, die bekanntlich ja gehackt wurde, können die Daten in den Applets eingebettet werden. Dadurch entsteht eine wesentlich höhere Sicherheit, vergleichbar mit DESFire und LEGIC.

Der Softwarebereich ist ähnlich strukturiert. Eine Basisebene (BIOS), ein Betriebssystem und im Fall des SmartMX eine weitere Schicht die die Ausführung von Java-Card-Applets gestattet (Java Card).

Durch das Aufbringen verschiedener Applets können verschiedene Hersteller-Standards, z.B. MIFARE und LEGIC, mit unterschiedlichen Datenstrukturen unterstützt werden.

LEGIC bietet ein Applet an, das auf der SmartMX Prozessorkarte eine Legic-Karte emuliert und nennt dies "Card in Card Solution"[1].

Als kontaktlose Kommunikationsebene wird der MIFARE Standard verwendet. Die Prozessorkarte (SmartMX) kann also als MIFARE-Karte genutzt werden, bietet jedoch durch die Verwendung der entsprechenden Applets einen wesentlich höheren Schutz als MIFARE Classic. SmartMX ist, bei Verwendung eines entsprechenden Applets und nicht des native MIFARE Modes, durchaus mit MIFARE Desfire vergleichbar. Cosmo-ID bietet diese Applets sowohl für Coorporate Cards sowie als Basis für die VDV-KA-Karten an, um darin geschützt Multiapplikationen zu betreiben.

Lange war es aufgrund der Leistungsaufnahme nicht möglich, die gesamte Elektronik einer passiven kontaktlosen Karte über das elektrische Feld eines Lesers permanent mit der entsprechenden Energie zu versorgen. Erst der massive Einsatz im Bereich von Government-Lösungen und der Beschluss mehrerer Staaten, den elektronischen Pass oder eine ID-Karte mit RFID einzuführen, hat die Hersteller dazu bewegt, Low-Power-Varianten aufzulegen, die letztendlich heute als kontaktlose Prozessorkarte vorliegen.

Beispiel VDV-KA

[Bearbeiten | Quelltext bearbeiten]

Als ein Beispiel soll der MIFARE SmartMX[2] von NXP Semiconductors genannt werden, der auch in der VDV-Kernapplikation für den öffentlichen Nahverkehr eingesetzt wird.

Der Verband Deutscher Verkehrsunternehmen (VDV) hat auf Basis einer Multiapplikativen Prozessorkarte von NXP (MIFARE SmartMX) eine Kernapplikation (VDV-KA) entwickelt, die eine einheitliche landesweite Ticketing-Lösung ermöglicht. Das eTicket Deutschland[3] ist der Markenname für das im Aufbau befindliche System eines interoperablen elektronischen Fahrgeldmanagements auf Basis der VDV-Kernapplikation. Das eTicket füllt aber nur einen kleinen Bereich der VDV-KA Karte. Es liegt nahe weitere Zusatzanwendungen auf dieser Karte zu installieren.

Der Benutzer könnte ein Park-and-Ride-Ticket erwerben und die VDV-KA Karte wird dadurch zu einer Multiapplikativen Prozessorkarte. Es wird zusätzlich die Anwendung Parken auf sein eTicket gespeichert. Er benutzt die Karte nun auch für die Ein- und Ausfahrt des Parkhauses.

Für viele Stadtwerke[4], ist die Multiapplikative Prozessorkarte auf Basis des VDV-KA-Standards gleichzeitig auch eine Kundenkarte, verbunden mit Vorteilen bei ihren Leistungspartnern, die mit ensprechenden Lesern ausgestattet sind. Dort können nun die Kunden Bonus-Punkte sammeln.

Andere Städte denken darüber nach, die Zusatzfunktion Studentenausweis mit auf die Karte zu bringen, um damit auch in der Mensa bezahlen zu können. Hier kommt nun eine Bezahlfunktion hinzu. Dieses Micropayment erlaubt es auch, an Verkaufsautomaten zu bezahlen. Aufgewertet wird die Karte an den eTicket-Automaten.

Die Karte kann zum Einlass von Veranstaltungen oder Messen benutzt werden (Ticketing). Das Ticket wird online über das Internet bestellt. Bei der Einlasskontrolle wird geprüft, ob die Karte berechtigt ist. In einigen Fussballstadien (z.B. Allianz Arena, Impuls-Arena) kann die Multiapplikative Prozessorkarte zur Bezahlung genutzt werden.

Besonders im Zusammenhang mit dem öffentlichen Nahverkehr, auf der Basis der VDV-Kernapplikation (VDV-KA), bieten sich Zusatzanwendungen an.

Dafür ist aber eine Integration verschiedener Systeme (eTicket, Parken, Bonus, Micropayment, Ticketing usw.) notwendig, und zwar nicht nur auf der Kartenebene, sondern auch auf der Systemebene. Spezielle Applets unterstützen diese Zusatzfunktionen auf der Multiapplikativen Prozessorkarte und integrieren verschiedene Hersteller mit unterschiedlichen Kartenstrukturen und Standards in ein Gesamtsystem. Die Firma Cosmo-ID hat im Süden Deutschlands bereits das erste Pilot-System[5] zusammen mit den Stadtwerken Augsburg realisiert.

Einzelnachweise

[Bearbeiten | Quelltext bearbeiten]
  1. Legic "Card in Card", Lösungen für Smart Cards und NFC Mobiltelefone von Fremdherstellern
  2. SmartMX engl. NXP-Webseite, Artikel und Links zu Datenblätter
  3. eTicket Deutschland Webseite, Interoperables elektronisches Fahrgeldmanagement
  4. KARO Card Webseite, Die Kundenkarte der Stadtwerke Augsburg
  5. Chipkarte im Mittelpunkt, Artikel in Sicherheit.info

Kategorie:Identifikationstechnik Kategorie:Hardware Kategorie:Software