Smart Cards, tarjetas de seguridad polivalentes
por José de Jesús Ángel Ángel, director de Investigación y Desarrollo de SeguriDATA .

Esta vez nos dedicamos a describir algo sobre el dispositivo conocido como "Smart Cards" (SC) o Tarjetas Inteligentes. Este dispositivo es muy usado en varias aplicaciones, como servicios prepagados para teléfono, transportes y otros servicios de uso frecuente. Así como también dispositivo de acceso físico o en sistemas computarizados, etc. Últimamente la SC se usa como "token" en un sistema de seguridad que usa criptografía, es decir, como dispositivo que permite procesar o portar información personal, como generar y guardar las claves.

Físicamente, una SC es una tarjeta de material plástico que debe de responder a los estándares de resistencia y flexibilidad (ISO/IEC 7810), de 8.56 cm de largo por 5.398 de ancho y 0.076 de grosor, que funciona como soporte para diferentes tipos de conectores entre la SC y dispositivos externos, como el que conecta a un microprocesador contenido en la SC y otro externo, como una PC o algún otro dispositivo.

Existen diferentes tipos de tarjetas y dependiendo de su uso su costo varía desde 1 a 20 dólares. Podemos clasificarlas según sus características como:

a) SC con un chip que contiene sólo memoria de lectura.

b) SC con un chip que tiene un circuito integrado y un microprocesador que se conecta por contacto al exterior.

c) SC con una conexión electromagnética a un microprocesador externo.

Las primeras SC también se conocen como Memory Cards (MC), y sólo contienen datos permanentes o semipermanentes.

Las SC que hacen más honor a su nombre son las que tienen un procesador, que en general usa palabras de 8 bits y 5MH de velocidad, con una velocidad de comunicación de 9600 bps.

Finalmente, las SC con conexión electromagnética sólo difieren en su forma de contacto.

Las SC tienen diferentes usos dentro de un sistema de seguridad, y permiten una gran portabilidad, lo que las hace ser una de las mejores formas de resguardo de claves privadas a nivel personal. Además de proporcionar grandes beneficios según la aplicación de que se trate, por ejemplo las tarjetas prepago en teléfonos incrementan un promedio del 15% de tiempo de uso y entre un 20% de dinero pagado por adelantado. Actualmente, se han creado esquemas que proporcionan más seguridad, impidiendo alterar la memoria de la SC.

Otra aplicación que ha tenido mucho éxito es en el transporte masivo, el uso de la SC reduce el congestionamiento en la compra de boletos, hace más fluido el acceso de personas y claro aumenta el dinero en efectivo pagado por adelantado, lo que permite tener más capacidad de inversión. Las Smart Cards son muy populares actualmente en los servicios financieros, son usadas como tarjetas de crédito, monederos electrónicos, tarjetas de débito etc.

Otras aplicaciones muy populares se encuentran en la infraestructura de claves públicas; la SC puede ser usada como portadora de certificados digitales, permitiendo la autenticación en una variedad muy grande de redes de comunicación corporativas o dedicadas a la seguridad de la información.

Por otra parte, existen varias formas en que las SC puedan ser atacadas, uno de los más famosos ataques que, a continuación mencionamos, es el DPA (Differential Power Analysis).

Primero veamos lo siguiente, cuando se generan claves, se cifra, o se firma digitalmente con el sistema RSA por ejemplo, esencialmente lo que se realiza es una operación exponencial, o sea, se eleva un número entero grande a una potencia también grande (desde 512 bits); esta es, en realidad, la operación más costosa y la que consume más tiempo y energía al efectuarse. El ataque consiste en conocer el consumo de energía que es usada cuando una SC hace esta operación y así deducir información de la clave privada.

El DPA consiste esencialmente en la diferencia de energía que toma la SC al realizar las diferentes operaciones en el proceso de cifrado y, a partir de ahí, deducir información de la clave privada, ya que ésta es, por ejemplo, la potencia en el proceso de descifrado y la potencia en el proceso de firma digital.

Para poder evitar este ataque, es necesario evitar que puedan tomarse las lecturas de energía necesarias para realizar las operaciones de cifrado.

A pesar de todo esto, las Smart Cards son actualmente una tecnología ampliamente usada y recomendada por su versatilidad y relativo bajo costo. Actualmente, existen varias decenas de diferentes SC dependiendo de su aplicación especial.