pametne kartice u poslovanju - oliver.efri.hroliver.efri.hr/zavrsni/73.pdf · sveuČiliŠte u...
TRANSCRIPT
SVEUČILIŠTE U RIJECI
EKONOMSKI FAKULTET U RIJECI
RIJEKA
KRISTIJAN KATIĆ
PAMETNE KARTICE U POSLOVANJU
DIPLOMSKI RAD
RIJEKA, 2013.
SVEUČILIŠTE U RIJECI
EKONMSKI FAKULTET U RIJECI
RIJEKA
PAMETNE KARITCE U POSLOVANJU
DIPLOMSKI RAD
Kolegij: Informatika
Mentor: Prof. dr. sc. Slavomir Vukmirović
Student: Kristijan Katić
Studijski smjer: Ekonomika poduzetništva
JMBAG: 24427
Rijeka, srpanj 2013.
KAZALO
1. UVOD 1
1.1. RADNA HIPOTEZA 1
1.2. SADRŽAJ I STRUKURA RADA 1
2. PAMETNE KARTICE 3
2.1. OPĆENITO O PAMETNIM KARTICAMA 4
2.2. FIZIČKA SVOJSTVA I STANDARDI PAMETNIH KARTICA 6
2.3. TEHNOLOGIJA PAMETNIH KARTICA 10
2.4. VRSTE PAMETNIH KARTICA 12
2.4.1. Memorijske kartice 14
2.4.2. Mikroprocesorske kartice 15
2.4.3. Kontaktne pametne kartice 16
2.4.4. Beskontaktne pametne kartice 16
2.4.5. Magnetske kartice 19
2.5. ŽIVOTNI CIKLUS PAMETNIH KARTICA 20
2.5.1. Proizvodnja pametne kartice 20
2.5.2. Personalizacija pametne kartice 21
2.5.3. Korištenje pametne kartice 21
2.5.4. Poništavanje pametne kartice 21
2.6. PREDNOSTI I NEDOSTACI PAMETNIH KARTICA 23
2.6.1. Prednosti pametnih kartica 23
2.6.2. Nedostaci pametnih kartica 25
2.7. PRIKAZ ALTERNATIVNIH MOGUĆNOSTI 27
3. PRIMJENA PAMETNIH KARTICA 29
3.1. FINANCIJSKI SEKTOR 29
3.2. TRANSPORT 32
3.3. MEDICINA 33
3.4. TELEKOMUNIKACIJE I OSTALA PODRUČAJA PRIMJENE 35
4. EKONOMSKI UČINCI PAMETNIH KARTICA U POSLOVANJU 38
5. SIGURNOST PAMETNIH KARTICA 43
5.1. VRSTE NAPADA I NAPADAČA NA PAMETNE KARTICE 44
5.1.1. Vrste napada na pametne kartice 45
5.1.2. Vrste napadača na pametne kartice 46
5.2. NAPADI I PRTUMJERE U FAZAMA ŽIVOTNOG CIKLUSA
KARTICE 48
5.2.1. Napadi u fazi razvoja kartice 48
5.2.2. Napadi u fazi razvoja operacijskog sustava 49
5.2.3. Napadi za vrijeme proizvodnje kartice 49
5.2.4. Napadi za vrijeme korištenja kartice 50
5.3. SIGURNOSNI MEHANIZMI 50
6. ZAKLJUČAK 53
Literatura 55
Popis tabela 57
Popis slika 57
1
1. UVOD
Prvenstveni cilj ovoga rada je dati pregled pametnih kartica te opisati njihove standarde,
osnovne oblike, tehnologiju i primjenu. Osim toga, u radu će se ukazati prednosti korištenja
pametnih kartica te široki spektar mogućnosti koje se nude krajnjim korisnicima.
U izradi rada koristit će se istraživanja i stavovi uglavnom iz stručne literature, prvenstveno
inozemne, ali će biti zastupljeni i domaći autori, kao i važeći propisi, empirijska istraživanja
pojedinih autora te statističke publikacije i Internet. Pri izradi ovog rada koristit će se metoda
analize i sinteze, metoda deskripcije tj. opisna metoda, matematičko-statistička metoda,
metoda indukcije i dedukcije, metoda klasifikacije, metoda kompilacije, metoda apstrakcije i
konkretizacije, metoda dokazivanja i opovrgavanja te metoda komparacije. Primjenom
metoda će se omogućiti misaoni i logistički postupak obrade relevantnih činjenica te
kompleksno i sveobuhvatno sagledavanje karaktera problema koji će se istražiti.
Za izradu rada koristit će se više općih znanstvenih metoda: metoda analize i sinteze,
generalizacija i specijalizacija, induktivna i deduktivna metoda, metoda kompilacije te
statističke metode. Metoda deskripcije, definirana kao postupak jednostavnog opisivanja ili
ocrtavanja činjenica, procesa i predmeta te njihovih empirijskih potvrđivanja odnosa i veza,
ali bez znanstvenog tumačenja i objašnjavanja, korištena je kroz cijeli rad. Zaključni će
rezultati biti kompjuterski obrađeni i primjereno tablično i grafički prikazani.
1.1. RADNA HIPOTEZA
Temeljna radna hipoteza ovog rada glasi: utemeljenim spoznajama o teorijskoj i praktičnoj
primjeni pametnih kartica moguće je prikazati njihove prednosti i pogodnosti u poslovanju i
korištenju, te uvođenje i održavanje novijih i suvremenijih kartica kako bi se povećala
uspješnost i konkurentnost poduzeća, a sve zajedno praćeno čuvanjem i prijenosom
informacija.
1.2. SADRŽAJ I STRUKURA RADA
Struktura rada je takva da nakon uvodnog poglavlja slijedi poglavlje u kojem se općenito
govori o pametnim karticama. Navode se fizička svojstva pametnih kartica, tehnologija
2
pametnih kartica te standardi koji se moraju poštivati prilikom izrade pametne kartice. U
ovom se poglavlju rada još govori o vrstama pametnih kartica, gdje se opisuju memorijske,
mikroprocesorske, kontaktne i beskontaktne pametne kartice, a pažnja se posvećuje i
magnetskim karticama, s obzirom na njihovu široku rasprostranjenost upotrebe. Navodi se i
životni ciklus pametne kartice, gdje se posebno opisuje svaka faza životnog ciklusa pametne
kartice (proizvodnja, personalizacija, korištenje i poništavanje) te se navode prednosti i
nedostaci pametnih kartica, a daje se i kratki pregled alternativnih mogućnosti.
Treće poglavlje ovoga rada govori o području primjene pametnih kartica, gdje se posebno
opisuje primjena pametnih kartica u financijskom sektoru, medicini, transportu te
telekomunikacijama i ostalim područjima.
Posljednje poglavlje ovoga rada govori o veoma važnoj karakteristici pametnih kartica, a to je
pitanje njihove sigurnosti. Prikazuju su vrste napada i napadača na pametne kartice, opisuju se
vrste napada i mjera obrane u svakoj fazi životnog ciklusa kartice, a na kraju se opisuju
sigurnosni mehanizmi pametne kartice.
U završnom poglavlju rada daju se završna razmatranja i stajališta te se sumiraju i rezimiraju
stavovi i spoznaje izneseni u radu.
3
2. PAMETNE KARTICE
Sam naziv pametna kartica (eng. Smart Card) ne govori mnogo o mogućnostima koje je danas
moguće ostvariti pomoću pametnih kartica. Preteče današnjih kartica pojavile su se u SAD-u
50-ih godina 20. stoljeća te su predstavljale simbol bogatstva, s obzirom na činjenicu da ih je
posjedovala samo probrana skupina bogatih ljudi. Takve su kartice sadržavale su jednostavne
podatke koje je bilo teško krivotvoriti. Prvo značajnije poboljšanje predstavljale su kartice s
magnetskom trakom, a u tom se obliku i dan danas koriste, s određenim poboljšanjima.
Pojavom elektronike omogućena je izrada računala na malom silicijskom čipu, veoma male
površine, kojeg je moguće ugraditi na identifikacijsku karticu.1
Komercijalno uvođenje pametnih kartica u francuskom poštansko-telekomunikacijskom
prometu označava početak njihove široke upotrebe. Danas se uglavnom koriste pametne
kartice koje imaju mikroprocesor, a zahvaljujući sve boljoj tehnologiji, mogućnosti pametnih
kartica danas su vrlo velike, a u budućnosti će sigurno biti još veće, jer će se primjena
pametnih kartica proširiti na sva područja ljudskog života. To su zapravo mala računala sa
svim svojim potrebnim komponentama (sadrže CPU, RAM, ROM i EEPROM) i sve manje
ovisna o terminalu.2
Prije pojave pametnih kartica, postojale su razne magnetske memorijske kartice koje nisu bile
standardizirane i kompatibilne. Magnetska traka je robusna i lako čitljiva, ali nije sigurna.
Podatke koji su na njoj može pročitati (i kopirati) bilo koji čitač magnetskih kartica. Kartice
različitih proizvođača drugačije su se programirale i vrijedila su posebna pravila za pojedinog
proizvođača. Tako su proizvođači razvijali svoj strojni jezik pa čak i jezik više razine za
programiranje kartica. Obično su se takve kartice programirale u tvornici prilikom izrade ili
odmah nakon izrade, pa je postojao dodatni trošak za korisnika.3
1 Brzica, H., Razvojne mogućnosti elektroničke javne uprave u Hrvatskoj i primjena pametne kartice za
elektroničke javne usluge, Magistarski rad, Sveučilište u Zagrebu Ekonomski fakultet Zagreb, Poslijediplomski studij„Informatički management“ 2 Rankl, W., Effing, W. Smart Card - Hand Book: Second Edition, John Wiley & Sons, New York, 1999.
3 Tomislav Geceg, Prezentacijski sustav za pametne kartice, Diplomski rad, Sveučilšte u Zagrebu Fakultet
elektortehnike i računarstva
4
Pojava pametnih kartica donosi sa sobom suštinske promjene u funkcioniranju platnih kartica
i proširenja njihovih aplikativnih mogućnosti.4 Samo na tehnološkoj osnovi pametne kartice
moguće je razvijati varijante tzv. kartičnog elektronskog novca.5
2.2. Općenito o pametnim karticama
Pametna kartica (engl. smart card) je plastična kartica veličine kreditne kartice koja u sebi ima
ugrađen integrirani sklop (engl. integrated circuit chip) ili mikročip. Taj mikročip uglavnom
može služiti kao memorija za pohranjivanje podataka, kao i za obavljanje određenih logičkih
operacija nad pohranjenim podacima. Glavne funkcije pametnih kartica su autentifikacija,
digitalni potpis, verifikacija digitalnog potpisa, pohranjivanje podataka te sigurnosni
mehanizam samozaključavanja.6
Pametna kartica je u velikoj mjeri otporna na vanjske napade te ne ovisi o ranjivim vanjskim
resursima. Upravo zbog navedeni značajki se ovakve vrste kartica koriste u različitim
aplikacijama koje zahtijevaju visoku razinu sigurnosne zaštite i autentifikacije. Dobar primjer
primjene pametnih kartica je kartica koja može služiti za identifikaciju vlasnika kartice, zatim
kao zdravstvena iskaznica ili kao kreditna/debitna bankovna kartica, pomoću koje je
omogućeno obavljanje različitih financijskih transakcija. Sve takve aplikacije koriste
osjetljive podatke spremljene na kartici kao što su kriptografski ključevi za autentifikaciju,
biometrijski podaci o vlasniku te osobni podaci o vlasniku.7
Zahvaljujući razvoju elektronike i mikroelektronike omogućena je izrada složenih malih
silicijskih čipova, koje je bilo moguće ugraditi na plastičnu karticu. Prve preteče današnjih
modernih pametnih kartica se pojavljuju u SAD-u u ranim 1950-tim godinama. Tada je
Diners Club napravio prve plastične kartice koje su se koristile u aplikacijama za financijske
transakcije. Problem kod tih prvih kartica je bio taj što su one bile jako skupe i sukladno tome,
dostupne samo najbogatijima. Te su kartice bile komadi plastike koje je bilo teško kopirati, a
glasile su na ime člana kluba, koji zahvaljujući posjedovanju kartice nije imao potrebu za
nošenjem gotovine. Kasnije su VISA i MasterCard napravili kartice s magnetskom vrpcom
koje su omogućavale spremanje određene količine digitaliziranih podataka pogodnih za
4 http://dtva.rs/index_files/Racunarstvo/EPoslovanje_files/03SmaKar/03SmaKar_files/Page311.htm
5 http://dtva.rs/index_files/Racunarstvo/EPoslovanje_files/04StaApl/04StaApl_files/Page298.htm
6 Brzica, H., Razvojne mogućnosti elektroničke javne uprave u Hrvatskoj i primjena pametne kartice za
elektroničke javne usluge, Magistarski rad, Sveučilište u Zagrebu Ekonomski fakultet Zagreb, Poslijediplomski studij„Informatički management“ 7 Ibidem
5
čitanje pomoću prikladnog uređaja. Ipak, treba naglasiti da magnetske kartice imaju veliki
nedostatak, a to je nezaštićenost podataka od čitanja, prepisivanja i brisanja od strane
neautoriziranih osoba.8
Pametne su kartice u masovnu upotrebu ušle 80-ih godina 20. stoljeća i to u Francuskoj, gdje
su se koristile kao sredstvo plaćanja u javnim telefonskim govornicama. Isto tako, 90-ih
godina 20. stoljeća doživljavaju veliki porast upotrebe zbog uvođenja GSM standarda u
mobilnu telefoniju. Sve do danas pametne kartice napreduju i mijenjaju svoju funkcionalnost i
područja primjene, a najzaslužnije organizacije za razvoj pametnih kartica su organizacije
poput EMVco (Europay International, Mastercard, American Express i Visa).9
Međunarodne kompanije za plaćanja MasterCard, Visa i Europay dogovorile su se 1993.
godine da će zajednički napraviti specifikaciju za korištenje pametnih kartica za plaćanje, koje
će biti moguće koristiti kao debitne ili kreditne kartice. Prva verzija EMV standarda je
donesena 1994. godine. EMV je standard za međudjelovanje čip kartica i odgovarajućih POS
terminala, za autentificiranje plaćanja kreditnim i debitnim karticama. Naziv EMV je akronim
od "Europay MasterCard VISA", tj. tri kompanije koje su prvotno radile na tom standardu10
.
Potrebno je istaknuti kako je uvođenje EMV standarda uvelike smanjio broj kartičnih
prijevara u zemljama koje su prešle na tu tehnologiju, dok se broj prijevara u zemljama koje
nisu uvele te standarde povećao. Pravi primjer migracije kartičnih prijevara je Malezija. Kada
se 2004. godine broj pametnih kartica znatno povećao, došlo je do velikog smanjivanja
kartičnih prijevara, pa je tako u 2006. godini svega 0,12% transakcija uključivalo kartične
prijevare, za razliku od 0,74% transakcija pet godina ranije. Istovremeno, u susjednom
Tajlandu, koji još nije bio odlučio uvesti EMV infrastrukturu, broj takvih prijevara se naglo
povećao.11
Banke su se pokazale kao jedan od pokretača masovne upotrebe pametnih kartica zbog toga
što se koristeći takvu tehnologiju jako smanjuje broj prijevara, količina krivotvorenog novca,
te broj ukradenih kartica. Uz mobilnu telefoniju i telefonske govornice, pametne su kartice
8 Petri, S. An Introduction to smart cards, http://artofconfusion.org/smartcards/docs/intro.pdf (pristupano
27.06.2013.) 9 Brzica, H., Razvojne mogućnosti elektroničke javne uprave u Hrvatskoj i primjena pametne kartice za
elektroničke javne usluge, Magistarski rad, Sveučilište u Zagrebu Ekonomski fakultet Zagreb, Poslijediplomski
studij„Informatički management“ 10
Ibidem 11
Pote, G. Smart Card Business in Asia Pacific, Global Platform Business Seminar, Shanghai,
http://www.globalplatform.org/documents/presentations/12-APSCA%20GPSH%20Business%20-
Shanghai2006.pdf , slide 8. (pristupano 27.06.2013.)
6
najraširenije u bankarstvu („elektronički novčanik“) te u velikim korporacijama kao
identifikacijska sredstva. Pojednostavljeno rečeno, pametne se kartice općenito upotrebljavaju
u područjima u kojima je potrebna velika sigurnost i tajnost. Konstantnim unapređenjem
sigurnosnih svojstava pametna kartica postaje vrlo pouzdan medij za pohranjivanje
najosjetljivijih podataka, što uvelike doprinosi smanjenju broja argumenta koji potiču sumnju
u njezinu isplativost i pouzdanost.12
Pametne kartice se sve više primjenjuju za osobnu identifikaciju i pristup uslugama na razini
regija, država, pa čak i na međunarodnoj razini. Danas su sve češće u upotrebi osobne
iskaznice, vozačke dozvole i zdravstvene iskaznice temeljene na tehnologiji pametnih kartica.
Prema predviđanjima konzultantske kuće Frost & Sullivan, rast prodaje pametnih kartica do
2013. godine će inducirati isključivo mikroprocesorske kartice dok će memorijske bilježiti
kontinuirani pad.13
Tabela 1: Globalno tržište pametnih kartica – predviđanje rasta prodaje do 2013.
Godina
Memorijske kartice Mikroprocesorske UKUPNO
Količina
(u milijunima) Porast
Količina
(u milijunima) Porast
Količina
(u milijunima) Porast
2006. 973,6 - 1.041,0 - 2.014,6 -
2007. 960,5 -1,3% 1.467,2 40,9% 2.427,7 20,5%
2008. 900,8 -6,2% 1.844,9 25,7% 2.745,7 13,1%
2009. 839,0 -6,9% 2.343,2 27,0% 3.182,2 15,9%
2010. 785,4 -6,4% 2.813,2 20,1% 3.598,6 13,1%
2011. 746,3 -5,0% 3.421,6 21,6% 4.167,9 15,8%
2012. 716,8 -4,0% 4.151,7 21,3% 4.868,5 16,8%
2013. 699,4 -2,4% 5.065,6 22,0% 5.765,0 18,4%
Izvor: Card World – User Guide 2006; International Journal for the card, financial and retail services;
2006, page 23.
2.3. Fizička svojstva i standardi pametnih kartica
Fizička struktura pametne kartice je specificirana standardom ISO 7810, 7816/1 i 7816/2.
Struktura se sastoji od 3 osnovna dijela, a to su plastične kartica (dimenzija 85,80 mm x 53,98
mm x 0.80 mm), sklop s integriranim vezama zajedno s tiskanim vezama (engl. printed
12Aleksander Radovan, Sigurnosni mehanizmi za rad s pametnim karticama, Diplomski rad, Sveučilište u Zagrebu Fakultet elektrotehnike i računarstva 13
Brzica, H., Razvojne mogućnosti elektroničke javne uprave u Hrvatskoj i primjena pametne kartice za
elektroničke javne usluge, Magistarski rad, Sveučilište u Zagrebu Ekonomski fakultet Zagreb, Poslijediplomski studij„Informatički management“
7
circuits) koji su ugrađeni na kartici.14
Kao i na drugim tehničkim područjima, kod pametnih
kartica također postoje standardi koji opisuju njihove specifičnosti. Nedostatak standarda
prvih godina razvoja se ogleda u nekompatibilnosti kartica pojedinih proizvođača. Postoji
čitav niz standarda koji se odnose na pametne kartice. Oni koji se odnose na njihove fizičke
karakteristike su generalno usuglašeniji od onih za softversku arhitekturu. Uslijed zahtjeva na
sve široj primjeni pametnih kartica, javila se potreba za bržim razvojem aplikacija kartica.
Važno je napomenuti da brži razvoj aplikacija kartica ne smije ugroziti temeljni razlog
korištenja pametnih kartica, a to je sigurno procesiranje. Pitanje sigurnosti je za razvojne
programere pametnih kartica najvažnije pitanje.
Slika 1: Fizička struktura pametnih kartica
Izovr: Sigurnosni mehanizmi za rad s pametnim karticama, Fakultet elektorethnike i računarstva,
Zagre, 2004., str. 7.
Postoji više standarda koji se odnose na pametne kartice. Standardi pametnih kartica koji
upravljaju fizičkim svojstvima su usklađeniji od onih koji pokrivaju aplikacijski specifična
svojstva. ISO 7816222 je međunarodni skup standarda (ima jedanaest dijelova) za
mikroprocesorske kartice sa kontaktima, te se može smatrati referentnim za područje
pametnih kartica. Gotovo svi standardi se pozivaju na ISO 7816-1, ISO 7816-2 i ISO 7816-3
kao temeljnu referencu.15
14 Aleksander Radovan, Sigurnosni mehanizmi za rad s pametnim karticama, Diplomski rad, Sveučilište u
Zagrebu Fakultet elektrotehnike i računarstva 15
Brzica, H., Razvojne mogućnosti elektroničke javne uprave u Hrvatskoj i primjena pametne kartice za elektroničke javne usluge, Magistarski rad, Sveučilište u Zagrebu Ekonomski fakultet Zagreb, Poslijediplomski
studij„Informatički management“
8
ISO je Međunarodna organizacija za normizaciju. ISO nije akronim, već ime izvedeno iz
grčke riječi "isos", što znači jednak. Osim toga, ime ISO služi za označavanje organizacije u
cijelom svijetu, što je rezultat prijevoda punog imena "International organization for
Standardization". Sve norme koje izrađuje i objavljuje ISO su dragovoljne. ISO nema moć
nametnuti uvođenje u primjenu tih normi. Određeni dio ISO normi, uglavnom onih koje se
odnose na zdravlje, sigurnost i okoliš, u nekim su zemljama prihvaćene kao sastavni dio
zakonske regulative ili se na njih pozivaju u propisima, kojima norme služe kao tehnička
osnova. ISO norme su rezultat potreba tržišta. Iako su ISO norme dragovoljne, činjenica da su
izrađene kao odgovor na potrebe tržišta i temeljene na konsenzusu svih zainteresiranih,
osigurava vrlo široku primjenu normi.16
Kada je riječ o pametnim karticama, objavljen je standard ISO 7816 – „Identification cards
Integrated circuit cards with contacts“. Taj standard definira najvažnije karakteristike
kontaktnih kartica:
fizičke karakteristike,
dimenzije i položaj kontakata,
električni signali i transportni protokoli,
međuindustrijske naredbe,
identifikator aplikacije,
međuindustrijske elemente podataka,
međuindustrijske SCQL naredbe.17
Sa ISO normom pametne kartice različitih proizvođača mogu komunicirati istim protokolom.
Fizičke karakteristike i dimenzije su također jednake za sve kartice i one su također propisane
normom, a također je propisan i položaj kontakata na kartici, značenje pojedinog kontakta te
protokol i sadržaj poruka kod razmjene poruka. Ove norme osiguravaju da kartice
proizvedene od jednog proizvođača mogu biti prihvaćene od čitača drugog proizvođača.18
Sposobnost „pameti“ kod pametnih kartica leži u integriranom krugu. Tipično se integrirani
krug sastoji od mikroprocesora, ROM memorije, radne memorije (RAM) i električki izbrisive
16 http://kvaliteta.inet.hr/t_pv3071b.htm
17 http://os2.zemris.fer.hr/pk/2002_barta/index.htm
18 Robert Đurin, Višenamjenska pametna kartica, Diplomski rad, Sveučilište u Zagebu Fakultet elektrotehnike i
računarstva
9
ROM memorije (EEPROM), koja će pamtiti svoje stanje i kad napajanja nestane. Čip na
kartici napravljen je na siliciju što povlači činjenicu da nije fleksibilan i lako se može slomiti.
Kako se čip ne bi uništio prilikom savijanja kartice, njegova veličina reducirana je na svega
par milimetara. Općenito, veličina, debljina i fleksibilnost prilikom savijanja dizajnirani su
tako da zaštite karticu od fizičkog oštećenja. S druge pak strane, takva dimenzija ograničava
veličinu memorije i procesorskih resursa koji su spremljeni na njoj. Zbog ovih ograničenja
moraju postojati sklopovi koji se nalaze izvan kartice (npr. u čitaču), kao što su napajanje,
podaci o vremenu i datumu itd. Ova ograničenja mogu smanjiti stupanj sigurnosti, jer su
obično ti vanjski sklopovi u nekim okolnostima nesigurni i podložni napadima.19
U identifikacijskim sustavima koriste se različite tehnologije. Velika šarolikost i raznolikost u
tehnologijama otežava otkrivanje falsifikata, ograničava korištenje i mogućnost širenja kartica
te često sužava izbor proizvođača. Idealan sustav definira jednu otvorenu arhitekturu za
kartice i za dodatnu opremu, korištenjem standarda za specifikaciju kartica. Ti standardi
omogućavaju da se kartice koriste za različite servise i dozvoljavaju organizacijama da
naručuju kartice od različitih proizvođača, a samim time zbog veće konkurencije i cijene
postaju niže. Osnovni standard za pametne kartice ISO 7816. On određuje fizičke, električne i
mehaničke karakteristike, kao i aplikativno sučelje.
Još neki standardi koji postoje kod pametnih kartica su GSM standardi, EMV standardi, Open
Platform standardi te PC/SC specifikacija. European Telecommunications Standards Institute
(ETSI) je izdao standard koji pokriva korištenje pametnih kartica u javnim i mobilnim
telefonskim sustavima. GSM standardi su specifikacija međunarodnog zemaljskog mobilnog
telefonskog sustava. Europay, MasterCard i Visa definirali su EMV specifikaciju. Ona je
nastala kao proširenje ISO 7816 standarda u smjeru specifičnih potreba financijske
industrije.20
Open Platform standard definira integrirano okruženje za razvoj i operativnu upotrebu
višenamjenskih sustava kartice. Taj standard sadrži i specifikaciju kartice i specifikaciju
terminala. Specifikacija kartice definira komunikaciju kartice sa terminalom. Specifikacija
terminala definira arhitekturu aplikacije terminala. PC/SC specifikacija definira arhitekturu
namijenjenu korištenju pametnih kartica u domenu osobnih računala.21
19 http://spvp.zesoi.fer.hr/seminari/2004/smart_card-sstuglin.pdf
20 Miroslav Pavlović, Pametne kartice, Magistarski rad, Univerzitet singidunum Fakultet za poslovnu
informatiku Beograd 21
Ibidem
10
2.4. Tehnologija pametnih kartica
Razvoj mikroprocesora pametnih kartica omogućava da se standardne platne funkcije
kombiniraju sa ostalim primjenama u financijskoj i informatičkoj industriji (e-novčanik,
mobilno bankarstvo) uz povećanje sigurnosti u e-trgovini. Da bi se omogućila kompatibilnost
između više aplikacija koju zahtijeva takav vid upotrebe, bilo je potrebno donošenje posebnih
standarda. Oni su donijeti zajedničkom akcijom Europay, MasterCard i Visa sustava, po
kojima su i dobili naziv EMV standardi. Ovi sustavi su 1999. Godine osnovali posebnu
organizaciju za te namjene, EMV. Najvažnije prednosti koje pruža upotreba EMV standarda
su povećanje stupnja sigurnosti, povećanje efikasnosti procesiranja te omogućavanje suradnje
i kompatibilnosti različitih aplikacija.
Povećanje efikasnosti procesiranja transakcija zasniva se na omogućavanju dobivanja
autorizacije te skraćivanjem vremena koje je potrebno za odvijanje transakcije.
Kompatibilnost različitih platnih aplikacija EMV osigurava tako što rješava probleme
procesiranja transakcija različitih platnih shema, uključujući i međudržavne transakcije i
transakcije preko Interneta. U uvjetima e-trgovine nije dovoljno samo osiguranje potrebne
zaštite povjerljivosti podataka za vrijeme njihovog prijenosa upotrebom određenog sustava
šifriranja, već je potrebno osigurati autentičnost sudionika u transakciji. U odsustvu toga
moguće su pojave različitih oblika zloupotreba kao što su falsificiranje i krađa zapisa.
Pametne kartice imaju 3 osnovna elementa kao i ostala računala, a to su snaga procesiranja,
memorija za podatke i te ulazno/izlazno sučelje. U karticama su ti elementi ugrađeni unutar
istog čipa. Osim navedena tri glavna elementa za uredno funkcioniranje pametnih kartica je
potreban i izvor napajanja. Snagu procesiranja pametnim karticama osigurava ugrađeni
mikroprocesor, a memoriju za podatke čini memorijski čip. Ulazno/izlazno sučelje, preko
kojeg se obavlja komunikacija s vanjskim uređajima, uglavnom se razlikuje od kartice do
kartice. Kako bi kartica mogla funkcionirati, mora imati izvor napajanja koji joj osigurava
čitač ili je izvor napajanja ugrađen na samoj kartici, kao što je slučaj kod naprednih pametnih
kartice (npr. beskontaktne).22
Mikroprocesor je inteligentni element pametne kartice koji interpretira podatke i upravlja
njima. Programska podrška koja služi za interpretiranje i upravljanje podacima je ugrađena u
memoriju tijekom proizvodnje kartice ili dodana pod kontrolom mikroprocesora. Memorija
22 Aleksander Radovan, Sigurnosni mehanizmi za rad s pametnim karticama, Diplomski rad, Sveučilište u
Zagrebu Fakultet elektrotehnike i računarstva
11
pametnih kartica može biti neizbrisiva, što znači da zadržava sadržaj i kad se isključi
napajanje te izbrisiva, koja gubi sadržaj nakon isključivanja kartice s izvora napajanja.
Memorija može imati mogućnost čitanja i pisanja podataka ili samo čitanja (engl. read-only-
memory). Većinom su u neizbrisivoj memoriji upisani podaci kao što su identitet vlasnika ili
aplikacijska programska oprema, dok su u memoriji s mogućnošću čitanja i pisanja podaci
koji se češće ažuriraju (npr. iznos na računu).23
Memorije u pametnim karticama mogu se kategorizirati u tri skupine: ROM, RAM i
programabilni ROM (PROM). ROM memorija je nepromjenjiva i njen sadržaj je u nju upisan
prilikom proizvodnje. Jednom upisan, sadržaj se više ne može mijenjati. RAM memorije su
promjenjive i služe samo za privremeno pohranjivanje podataka jer se podaci nakon nestanka
napajanja iz nje brišu. Podaci se u RAM mogu upisivati, biti čitani, mijenjan, i brisani.
Postoje dvije vrste programabilnih ROM memorija (PROM), a to električki programabilne
ROM (EPROM) i električki izbrisive programabilne ROM (EEPROM) memorije. Za razliku
od EPROM-a, EEPROM se može reprogramirati, ali mu je zato struktura mnogo složenija, što
ga čini mnogo skupljim.24
Memorija može biti strukturirana tako da omogućava kreiranje nekoliko različitih razina
sigurnosnih zona. Otvorena zona se sastoji od nepovjerljivih podataka kao što je identitet
vlasnika kartice, ali se njen sadržaj može mijenjati samo od strane autoriziranog osoblja.
Radna zona se sastoji od povjerljivih podataka do kojih se može doći ovisno o ispunjenju
određenih sigurnosnih uvjeta (npr. unošenje PIN-a). Tajna zona sadržava vrlo povjerljive
podatke, kao što je PIN. Osigurano je da ti podaci nikada ne napuštaju karticu.
Postoji nekoliko načina na koje pametna kartica komunicira s vanjskim svijetom. Kontaktne
kartice obično na površini imaju metalni kontakt koji se unutar čitača spaja na konektor za
komuniciranje. Beskontaktne kartice koriste beskontaktnu metodu transmisije i primanja
podataka, što zahtijeva približavanje kartice beskontaktnom čitaču. Napredne pametne kartice
imaju integriranu tipkovnicu i ekran za prikaz pa ne trebaju vanjski uređaj kao što je čitač.
Mogu imati ugrađene kontakte na površini kartice, koji se koriste za slučaj kad je potrebno
prenijeti podatke do nekog drugog elektroničkog uređaja.25
23 Aleksander Radovan, Sigurnosni mehanizmi za rad s pametnim karticama, Diplomski rad, Sveučilište u
Zagrebu Fakultet elektrotehnike i računarstva 24
Ibidem 25
Ibidem
12
U suštini, pametna kartica predstavlja mikro računalo sa procesorom koji omogućava da se na
njima obavlja dodavanje, brisanje i manipuliranje informacijama. Funkcionalne mogućnosti
ovih kartica uvjetovane su vrstom memorije sa kojom čip može biti snabdijevan. Ključne
memorije su:26
memorija na kojoj se nalazi operativni sustav (nepromjenjiva, engl. read-only memory
- ROM),
memorija koja se koristi za privremeno skladištenje prilikom rada procesora
(promjenjiva, engl. random-access memory - RAM),
memorija u kojoj su smješteni podaci od interesa, kao što su broj računa, certifikat,
ključevi i sl. (engl. electrically - erasable programmable read-only memory
EEPROM).
Operativni sustavi pametnih kartica imaju malu sličnost sa operativnim sustavima osobnih
računala. Između ostalog, ne uključuju korisničko sučelje te nemaju mogućnost pristupa
vanjskim jedinicama za čuvanje podataka. Njihova je osnovna uloga prijenos podataka,
kontrola izvršavanja naredbi, upravljanje datotekama te upravljanje i izvršavanje
kriptografskih algoritama. Operativni sustavi pametnih kartica omogućuju optimiziranje
sigurnosti izvršavanja programa na kartici i zaštitu kontrole pristupa podacima.27
Osnovu većine današnjih operativnih sustava pametnih kartica predstavlja standard ISO 7816,
a najvažnija mu je karakteristika orijentacija datoteka. Korisnička aplikacija je datoteka s
podacima, a naredbe za pristup aplikativnim podacima definira operativni sustav. Zbog
potrebe jasnog razdvajanja operativnog sustava i korisničke aplikacije, razvila se i nova
tehnologija, među kojima se izdvaja Java Card tehnologija.28
2.5. Vrste pametnih kartica
Kartice s integriranim vezama (engl. integrated circuit cards) poznate su pod nazivom
pametne kartice. One su izrađene sukladno ISO 7816 standardu, a posjeduju memoriju i
procesor te se lako izrađuju u ISO standardom propisanom formatu. Fizičkim su izgledom
26 Vuksanović, E. Elektronsko bankarstvo, Fakultet za bankarstvo, osiguranje i finansije, Institut ekonomskih
nauka, Beograd, 2006., str. 48. 27
http://os2.zemris.fer.hr/pk/2002_barta/index.htm 28
Ibidem
13
vrlo slične običnim kreditnim karticama, ali s tom razlikom što imaju ugrađeni mikročip.
Mikročip omogućuje spremanje i upravljanje podacima te takva kartica ima nekoliko desetaka
puta više memorije nego obična kartica s magnetskom trakom. Zbog tih se svojstava pametna
kartica upotrebljava u brojnim aplikacijama u kojima je sigurnost od velike važnosti. Pametne
se kartice najčešće koriste za plaćanje telefonskih poziva, plaćanje parkirnih karata i cestarina,
vršenje bankovnih transakcija, spremanje identifikacijskih i liječničkih zapisa, pristupanje
satelitskoj televiziji i slično.29
Pametna kartica je najmlađa od identifikacijskih kartica. Zbog izražene želje i potrebe da se sa
postojećih infrastruktura kartica ostvari prijelaz na novu tehnologiju kartica, pametne kartice
vrlo često objedinjuju obilježja magnetnih ili reljefnih kartica. Ali bez obzira da li pametna
kartica sadrži magnetnu traku ili reljefne podatke, njeno elementarno obilježje je čip.30
Postoji veliki broj različitih kartica koje se danas koriste, ali se u osnovi dijele u dvije, a to su
aktivne i pasivne kartice. Osnovna razlika između pasivnih i aktivnih kartica je u tome što
pasivne kartice nemaju mogućnost za bilo kakvom interakcijom sa čitačem. Njihova osnovna
funkcija je u jednokratnom ili višekratnom memoriranju nekog tipa informacije, bez
mogućnosti izvršavanja bilo kakvog procesiranja. Procesiranje podataka koji su u kartici ili
dolaze ka kartici od strane komunikacijskog uređaja je moguće samo ukoliko na kartici
postoji čip koji to omogućava.
Pametne se kartice mogu podijeliti u nekoliko grupa. Ovisno o čipu, razlikuju se memorijske
kartice i mikroprocesorske kartice, a kada se uzima u obzir prijenos podataka te mehanizam
pristupa, postoji podjela na kontaktne i beskontaktne kartice. Podjela je pokazana na slici broj
2.31
29 Aleksander Radovan, Sigurnosni mehanizmi za rad s pametnim karticama, Diplomski rad, Sveučilište u
Zagrebu Fakultet elektrotehnike i računarstva 30
http://os2.zemris.fer.hr/pk/2002_barta/index.htm 31
http://os2.zemris.fer.hr/pk/2002_barta/index.htm#_Toc518722216
14
Slika 2: Tipovi kartica
KARTICA
kontaktna
beskontaktna memorijska
mikroprocesorska
Reljefna kartica Magnetna kartica Pametna kartica Optička kartica
Izvor: Sigurnosni mehanizmi pametne kartice (seminarski rad), Fakultet elektortehnike i računarstva,
Zagreb
Reljefna kartica je potpuno zastarjeli tip kartica koji nema nikakvu mogućnost zaštite.
Magnetna kartica sa magnetnim zapisima je i dalje veoma popularna, ali polako izlazi iz
upotrebe, na način da se umjesto njih uvode čip kartice. Za razliku od čip kartica, magnetne
kartice na sebi nose izuzetno malu količinu informacija, bez mogućnosti ostvarenja visoke
razine zaštite, kao i bez mogućnosti bilo kakve interakcije sa čitačem. Zbog drastičnog pada
cijene čipovima, magnetne kartice polako izlaze iz upotrebe u zaborav, iako su godinama bile
izuzetno korištene.
Dakle, kada je riječ o podjeli pametnih kartica, kada je riječ o vrsti čipa, razlikuju se
memorijske i mikroprocesorske kartice, dok se na temelju karakteristika prijenosa podataka i
mehanizama pristupa razlikuju kontaktne, beskontaktne i kombinirane kartice.32
Memorijske kartice
Memorijska kartica ima ugrađen čip s memorijom i neprogramibilnom logikom i ne sadrži
mikroprocesor. Uslijed nepostojanja mikroprocesora, neprogramibilna logika procesira
podatke. One su znatno jeftinije, ali podržavaju i puno manje funkcionalnosti u odnosu na
kartice s mikroprocesorom. Tipičan predstavnik memorijskih kartica je telefonska kartica te
kartice za zdravstveno osiguranje. Posljedica neprogramibilnosti je da telefonska kartica
32 Brzica, H., Razvojne mogućnosti elektroničke javne uprave u Hrvatskoj i primjena pametne kartice za
elektroničke javne usluge, Magistarski rad, Sveučilište u Zagrebu Ekonomski fakultet Zagreb, Poslijediplomski studij„Informatički management“
15
postaje neupotrebljiva nakon što se potroši iznos koji je definiran na kartici. Prednost
memorijskih kartica je jednostavna tehnologija, što rezultira niskom cijenom. S obzirom na to,
one su relativno nesigurne te se mogu lako krivotvoriti.33
Memorijske kartice sadrže EEPROM i ROM memoriju, ali ne sadrže mikroprocesor ni
operacijski sustav koji ih kontrolira. Najjednostavniji dizajn podržava logiku koja
onemogućava pisanje i brisanje podataka. Složeniji dizajn memorijske kartice nudi mogućnost
ograničenog pristupa kod čitanja podataka s kartice. Memorija može sadržavati samo statičke
podatke (kao što su razni identifikatori, imena i sl.) ili podatke za koje nije potrebna
dinamička enkripcija.34
Mikroprocesorske kartice
Sukladno nazivu, mikroprocesorske kartice sadrže mikroprocesor, koji u velikoj mjeri podiže
razinu sigurnosti takve pametne kartice. Mikroprocesor omogućava ugradnju šifarskih
algoritama te primjenu širokog skupa zaštitnih mehanizama. Funkcionalnost
mikroprocesorskih kartica ograničena je samo veličinom njihove memorije i snagom
procesiranja. Koriste se u aplikacijama koje zahtijevaju sigurnost i privatnost podataka, kao
što su primjerice kontrola pristupa, aplikacije bankovnih sustava, aplikacije bežičnih i
telekomunikacijskih sustava i slično.
Procesor omogućava zaštitu informacija u memoriji, obavljanje instrukcija te pisanje i čitanje
memorije kartice. Nakon što je procesor priključen na napajanje umetanjem kartice u čitač,
čip koji se nalazi unutar kartice postaje malo računalo, koji za upravljanje koristi operacijski
sustav koji se također nalazi na kartici, koji je jedinstven za svaki čip ili proizvođača kartice.
Operacijski sustav je obično smješten unutar ROM memorije, CPU koristi RAM za radnu
memoriju, a većina podataka je spremljena u EEPROM memoriji.35
Iako se naziv pametna kartica odnosi i na memorijske i na mikroprocesorske kartice, zbog
inteligencije koju pruža ugrađeni procesor, često se naziv pametna kartice veže samo uz
mikroprocesorske kartice, dok naziv čip kartica obuhvaća memorijske i mikroprocesorske
kartice.36
33 http://os2.zemris.fer.hr/pk/2002_barta/index.htm
34 Aleksander Radovan, Sigurnosni mehanizmi za rad s pametnim karticama, Diplomski rad, Sveučilište u
Zagrebu Fakultet elektrotehnike i računarstva 35
http://sr.wikipedia.org/wiki/Smart_kartica 36
http://os2.zemris.fer.hr/pk/2002_barta/index.htm
16
Kontaktne pametne kartice
Kontaktne su kartice u punom smislu riječi pametne kartice, zbog toga što imaju ugrađen
mikroprocesor, određenu memoriju te se na njima nalazi instaliran neki operativni sustav.
Mogu pohranjivati novi sadržaj na sebe, brisati stari te mijenjati instrukcije koje se izvode.
Na njima nema nikakvih izvora napajanja, nego energiju koja im je potrebna za napajanje
moraju dobiti od samog čitača.37
Kontaktne kartice komuniciraju sa vanjskim svijetom putem serijskog komunikacijskog porta.
Priključnica ostvaruje mehanički i električni kontakt sa uređajem za prihvaćanje kartice.
Takva vrsta kartice ne posjeduje vlastiti izvor napajanja i nema mogućnost generiranja
unutrašnjeg signalnog takta. Ove kartice imaju svu mikroelektroniku ugrađenu u unutrašnjost
kartice u obliku jednog čipa, kojem su kontakti izvedeni na površinu kartice. Kontakti
omogućuju povezanost vanjske jedinice (eng. Smart Card Reader), što omogućuje da neki
uređaj uspostavi komunikaciju i prenese energiju do mikroelektronike u čipu.
Kontaktna pametna kartica je istih dimenzija i debljine kao i konvencionalne plastične kartice,
ali sadrži i posebno ugrađenu memoriju i procesor, a za njeno korištenje je potrebno
uspostavljanje kontakta s terminalom. Kartice ove kategorije zahtijevaju upotrebu terminala
za svaku transakciju ili upit. Zbog toga je pojava novih bežičnih pristupa i protokola
relativizirala i smanjila njihovu važnost.
Jedno od najvažnijih obilježja mikroprocesorskih pametnih kartica je sigurnost. Kontaktne
mikroprocesorske pametne kartice su uglavnom prilagođene za sigurni prijenos podataka.
Ako se korisnik uspješno ne autentificira, neće moći pristupiti podacima koji se nalaze na
kartici. Također, ako je kartica izgubljena, podaci na kartici neće biti izloženi neovlaštenom
pristupu ako su ti podaci prikladno sačuvani na kartici. Pošto je pametna kartica kao malo
računalo, ona može sigurno obraditi unutrašnje podatke te proslijediti rezultat na izlazno
okruženje.
Beskontaktne pametne kartice
Beskontaktne pametne kartice umjesto kontakata na površini kartice upotrebljavaju neku vrstu
električnog spoja. Kartica se mora približiti na određenu udaljenost od čitača, a udaljenost
ovisi o vrsti tehnologije koja se koristi. Čitač preko induktivnog spoja transferira električnu
37 http://fly.srk.fer.hr/~colt/paper/Ergonomija_seminar.pdf
17
energiju i snagu do kartice. Unutrašnji sat kartice se aktivira i komunikacija se provodi
pomoću modulacije signala snage.38
Beskontaktne kartice u suštini sadrže antenu kojom se detektiraju i prihvaćaju signali sa
čitača, tako da prilikom upotrebe ne zahtijevaju kontakt sa terminalom. U svijetu su dugi niz
godina dominirale kartice sa magnetnom trakom, a potom dolazi do njihove, najprije
postepene, a zatim sve intenzivnije zamjene karticama sa čipom. Ključni atributi koji
karticama sa čipom daju prednost u odnosu na magnetne kartice su povećanje sigurnosti,
ekonomičnosti i mogućnost velike funkcionalnosti.39
Beskontaktne pametne kartice pogodne su kod velikog broja pristupa kartici i prijenosa
podataka, ali nisu pogodne za sve tipove aplikacija, posebno kod masovnih transakcija i kada
je potrebno podatke s kartice pročitati u vrlo kratkom vremenu. Korištenjem
elektromagnetskih valova beskontaktne pametne kartice mogu slati podatke prema CAD
uređaju s udaljenosti od nekoliko cm do nekoliko metara. Kao i kontaktne kartice, ove također
nemaju nikakvo unutrašnje napajanje već koriste tehnologiju koja omogućava CAD uređajima
da napaja i komunicira s karticom, bez fizičkog kontakta s karticom, preko elektromagnetskih
valova. Također, jedan od značajnijih nedostataka beskontaktnih kartica je da može doći do
transakcije između CAD uređaja i kartice bez znanja korisnika.40
Kako bi se objasnila suština i princip funkcioniranja beskontaktne kartice, od iznimne je
važnosti imati u vidu da sustav pametne kartice praktično predstavlja distributivni računalni
sustav, koji se sastoji od kartice, čitača kartice, operativnog sustava te komunikacijskog
sučelja. Beskontaktne kartice u suštini sadrže antenu kojom se detektiraju i prihvaćaju signali
koji se emitiraju sa čitača, stoga se prilikom upotrebe ne zahtijeva kontakt sa terminalom.
Pored standardnih platnih kartica, beskontaktne tehnologije se danas pojavljuju i u formi
prstena, naljepnica i slično.
Beskontaktne se kartice koriste u situacijama gdje su potrebne brze transakcije, dakle gdje je
presudna brzina a ne količina prenesenih podataka. Općenito se koriste kada je potrebna brza
identifikacija. Sustav javnog transporta je idealan za primjenu takvih kartica. Kada se gleda
ugrubo, mogu se navesti dvije vrste ovakvih kartica. Pasivne kartice su one koje moraju
38 Aleksander Radovan, Sigurnosni mehanizmi za rad s pametnim karticama, Diplomski rad, Sveučilište u
Zagrebu Fakultet elektrotehnike i računarstva 39
Ibidem 40
http://www.seminarskirad.biz/seminarski/pametne%20kartice%20u%20web%20orku%C5%BEenju%20-
%20master.pdf
18
energiju potrebnu za rad dobiti od čitača, stoga imaju ograničenu primjenu, jer se moraju
nalaziti u veoma velikoj blizini čitača. Za razliku od pasivnih, postoje aktivne pametne
kartice, koje imaju ugrađene izvore napajanja. Ove kartice mogu biti udaljene i nekoliko
metara od čitača te i dalje funkcioniraju u potpunosti. Najčešće se primjenjuju za plaćanje
cestarine.41
Postoje brojne prednosti beskontaktnih kartica, a neke od njih su:
Pouzdanost i dulji životni vijek. Površinski kontakti su najčešći kvarovi koji se
događaju u elektroničkim sustavima ovoga tipa. Površinski kontakti su stoga podložni
oštećenju i onečišćenju što gotovo sigurno uvjetuje kvar sustava. Zbog toga su puno sigurnije
i pouzdanije beskontaktne kartice.
Orijentacija. Beskontaktna kartica može biti u bilo kojoj orijentaciji u odnosu na
čitač, za razliku od kontaktne, koja se mora gurnuti u za to predviđen utor pod određenom
orijentacijom.
Prikladnost. Jedinica koja čita/piše na karticu može biti ugrađena u bilo kakvo
nemetalno kućište, što omogućuje bolju mehaničku zaštitu.
Minimalno održavanje. Ne postoje nikakvi pokretljivi mehanički dijelovi, što
uvjetuje minimalno održavanje takvih sustava.
Robusnost. Čitači i beskontaktne kartice mogu podnijeti različite vremenske uvjete,
zbog čega su idealni za industrijsku ili neku sličnu okolinu, gdje mogu doći u doticaj s
različitim onečišćivačima kao što su ulja, masnoće ili prašina.42
Naravno, osim brojnih prednosti, postoje i određeni nedostaci beskontaktnih kartica. Prije
svega, dosta problema izaziva loš standard, jer različiti proizvođači koriste različite metode
prijenosa podataka i energije koje su nekompatibilne jedna s drugom. Također, beskontaktne
kartice mogu biti relativno spore i skupe za izradu te mogu prestati s radom prilikom
savijanja, jer za razliku od kontaktnih kartica nisu napravljene od jednog čipa, već od većeg
broja povezanih komponenti. Isto tako, kada se pogleda aspekt sigurnosti, beskontaktne
kartice su manje sigurne, jer može doći do prijenosa podataka i bez želje ili znanja stvarnog
vlasnika kartice.
41 http://os2.zemris.fer.hr/pk/2002_barta/index.htm#_Toc518722216
42 Aleksander Radovan, Sigurnosni mehanizmi za rad s pametnim karticama, Diplomski rad, Sveučilište u
Zagrebu Fakultet elektrotehnike i računarstva
19
Magnetske kartice
Iako ne spadaju u pametne kartice, potrebno je posvetiti i dužnu pozornost magnetskim
karticama, s obzirom da su one bile najvažnija vrsta kartica dugi niz godina, a i danas su
veoma raširene.
Kada se pogleda tehnička strana, kartice s magnetskom trakom su standardne plastične kartice
koje sadrže magnetnu traku na kojoj su upisani i na kojoj se čuvaju određeni podaci. Ova
kartica je napravljena od 3 staze i nijedna od ovih staza nema kapacitet za čuvanje velike
količine podataka. Prva staza koristi se za identifikaciju emitenta kartice (engl. Bank
Identification Number-BIN ) i pokazuje kojoj mreži pripada. Druga staza služi za
identifikaciju broja računa (engl. Primary Account Number-PAN), dok treća staza služi za
identifikaciju vlasnika računa (engl. Personal Identification Number-PIN). PIN je vrsta šifre,
odnosno numerička vrijednost koja se u određenim sustavima koristi za pristup i
autentifikaciju. PIN treba biti poznat samo vlasniku te težak za pogađanje, a najčešće se
koristi na bankomatima.43
Potrebno je istaknuti da su upisani podaci na takvim karticama podložni vanjskim utjecajima,
što podrazumijeva da se mogu lako mijenjati, brisati ili oštetiti pod utjecajem različitih
razlika, slučajno ili namjerno. Zbog nedovoljne sigurnosti upisivanje na njoj se praktički ne
izvršava, iako postoji ta mogućnost, nego se uglavnom koristi kao memorijska kartica. Zbog
navedenih karakteristika, magnetna kartica može biti osnova za obavljanje prvenstveno
identifikacijske funkcije za ulaz u određene sustave, ili obavljanje funkcija novčanih i
kreditnih kartica, što je i njena najčešća i najraširenija upotreba.
Magnetne su kartice dominirale u upotrebi do sredine 80-ih godina 20. stoljeća, da bi zatim
došlo do postepene, a zatim sve intenzivnije zamjene sa karticama sa čipom. U fazi prelaska
sa jedne vrste na drugu korištena je i hibridna tehnologija (kombinacija i magnetne trake i
čipa). Ključni čimbenici koji karticama sa čipom daju prednost u odnosu na magnetne kartice
su povećanje sigurnosti, ekonomičnosti i multifunkcionalnosti.
Magnetna kartica ima relativno niske troškove upotrebe i kapacitet memorije koji dozvoljava
da se pored podataka potrebnih za obavljanje transakcija, unose i podaci potrebni za
osiguravanje dodatne sigurnosti. Unaprijeđene i usavršene kartice sa magnetnom trakom
43Vuksanović, E. Elektronsko bankarstvo, Fakultet za bankarstvo, osiguranje i finansije, Institut ekonomskih
nauka, Beograd, 2006., str. 46.
20
mogu se produktivnije koristiti, jer se temeljem povećanja gustoće samih magnetnih traka
osigurava povećanje kapaciteta njihovih memorija. Ovakvo unapređenje je sa gledišta
funkcionalnih mogućnosti same kartice izuzetno važno, s obzirom na činjenicu da je kod
standardne tradicionalne magnetne kartice prisutno ograničenje memorije. Naravno, takvim
porastom funkcionalnosti znatno rastu i troškovi same kartice, kao i terminala koji su potrebni
za njihovo korištenje. Dakle, nedovoljna razina sigurnosti, kapacitet memorije i prednost
funkcioniranja sustava bez on-line veza predstavljaju temeljne razloge potiskivanja kartice sa
magnetnom trakom, a u korist kartica sa čipom.
2.6. ŽIVOTNI CIKLUS PAMETNIH KARTICA
U svakoj pametnoj kartici postoji operativni sustav kojeg određuju podaci kao što su
identifikacijski broj proizvođača, vrsta komponente, serijski broj, informacije o profilu i
slično. Najvažniji su sigurnosni ključevi koje sadrži sistemsko područje, kao što su ključ
proizvođača te ključ personalizacije. Sve navedene informacije moraju biti sakrivene i
nedostupne drugim subjektima. Najčešće se nalaze unutar posebnih datoteka, do kojih pristup
imaju samo ovlaštene osobe.44
Dakle, može se reći da je proizvodnja pametne kartice podijeljena u nekoliko različitih faza,
od proizvođača, do davatelja aplikacije pa sve do vlasnika kartice. U svakoj se fazi
primjenjuju različita ograničenja kod transfera i pristupa podacima, odnosno povećavaju se u
svrhu zaštite različitih područja na pametnoj kartici.45
Proizvodnja pametne kartice
Faza proizvodnje pametne kartice je prva faza. Ona je određena proizvođačima čipova te se u
njoj izrađuje integrirani silicijski čip koji se kasnije i testira. U toj se fazi dodaje ključ
proizvođača, kako bi se čip zaštitio od neovlaštene modifikacije, sve do ugradnje u plastičnu
karticu. Za svaki je čip jedinstveni ključ, a dobiven je derivacijom glavnog ključa
proizvođača. Na kraju ove faze se zapisuju ostali podaci od proizvođača.46
44 Aleksander Radovan, Sigurnosni mehanizmi za rad s pametnim karticama, Diplomski rad, Sveučilište u
Zagrebu Fakultet elektrotehnike i računarstva 45
Ibidem 46
Ibidem
21
Personalizacija pametne kartice
Faza personalizacije je određena proizvođačima kartica, a sastoji se od ugradnje integriranog
čipa u karticu. U toj se fazi izrađuju veze između čipa i štampanih veza, nakon čega je kartica
spremna za testiranje. Dodatna se sigurnost ostvaruje zamjenom ključa proizvođača s ključem
personalizacije. Nakon toga se upisuje personalizacijska brava, koja predstavlja kraj
zapisivanja podataka i koja štiti čip od daljnje modifikacije. Tom se bravom onemogućuje
izvođenje transakcija i instrukcija koje pristupaju fizičkoj memoriji, stoga je pristup kartici
ograničen. Logičko adresiranje čuva sustav i štiti rezervirana područja na čipu od neovlaštene
modifikacije.47
Kao što je navedeno, faza personalizacije je u uskoj vezi s izdavačima kartica. Sadržaj
datoteka podataka i podataka vezanih za aplikaciju se zapisuje na karticu, a osim tih podataka,
još se pohranjuju i informacije o identitetu korisnika kartice te PIN te je kartica spremna za
korištenje.48
Korištenje pametne kartice
Jednostavno rečeno, u fazi korištenja korisnik koristi karticu. Aktiviraju se aplikacijski
sustavi, kontrole pristupa logičkoj datoteci i ostale kontrole koje su potrebne. Pristup
spremljenim informacijama na kartici ograničen je sigurnosnom politikom aplikacije koja
koristi pametnu karticu.49
Poništavanje pametne kartice
Završna faza životnog ciklusa kartice je njeno poništavanja, a postoje 2 načina kako kartica
dolazi u ovo stanje. Prvi se način inicira od strane aplikacije koja zapisuje bravu poništavanja
u glavnu datoteku. Sve operacije, uključujući i pisanje i ažuriranje, onemogućavaju se od
operativnog sustava, dok ostaju samo operacije čitanje, koje su predviđene u svrhu
analiziranja podataka. Nepostojanje ostalih operacija nakon zapisivanja brave poništavanja
47 Aleksander Radovan, Sigurnosni mehanizmi za rad s pametnim karticama, Diplomski rad, Sveučilište u
Zagrebu Fakultet elektrotehnike i računarstva 48
Ibidem 49
Ibidem
22
kartica u velikom dijelu postaje beskorisna, jer više ne može spremati na sebi nikakve nove
podatke.50
Drugi način dovođenja kartice u ovo stanje postiže se nepovratnim blokiranjem pristupa
kartici od strane kontrolnog sustava. To se događa zbog blokiranja PIN-a i blokiranja
deblokacijskog PIN-a. Primjerice, to se događa kada se 3 puta pogrešno unese PIN. Potrebno
je naglasiti da je u ovom slučaju onemogućena i operacija čitanja podataka s kartice.51
Slika 3: Faze i prava pristupa tijekom životnog ciklusa pametne kartice
Područja / faze Proizvodnja Personalizacija Korištenje i završna faza
Način pristupa Fizičko adresiranje Logičko adresiranje
Ključevi proizvođača Nije dostupno
Podaci proizvođača Čitanje, pisanje,
brisanje Čitanje Čitanje
Direktorij Čitanje, pisanje, brisanje U skladu s uvjetima logičkog
pristupa datotekama
Podaci Čitanje, pisanje, brisanje U skladu s uvjetima logičkog
pristupa datotekama
Opcijski kod Čitanje, pisanje, brisanje Nije dostupno
Izvor: Uvod u sigurnost pametnih kartica
http://www.xmarks.com/site/home.hkstar.com/~alanchan/papers/smartCardSecurity (pristupano
30.06.2013.)
I dok s jedne strane tehnologija napreduje munjevitom brzinom, pametne kartice se sve više
koriste u svim granama ljudske djelatnosti. Često se javljaju problemi kad treba iz hrpe kartica
izvaditi baš onu koju treba za traženog davatelja usluge. Stoga se javljaju prve višeuslužne
pametne kartice, koje imaju više primjena (npr. bankovna i telefonska kartica). Razvoj
standarda i specifikacija olakšati će njihovu primjenu. Važno je naglasiti da je „čitač“ ostala
ustaljenom u tehnologiji pametnih kartica još iz vremena memorijskih kartica, kad su čitači
imali samo funkciju čitanja podataka, a programiranje memorijske kartice se obavljalo preko
posebnih izlaznih jedinica. U vrijeme pametnih kartica, pod pojmom „čitač“ se istovremeno
podrazumijeva i „pisač“, jer se preko njega upisuju i mijenjaju podaci na pametnoj kartici.
50 Aleksander Radovan, Sigurnosni mehanizmi za rad s pametnim karticama, Diplomski rad, Sveučilište u
Zagrebu Fakultet elektrotehnike i računarstva 51
Ibidem
23
2.7. PREDNOSTI I NEDOSTACI PAMETNIH KARTICA
Kao i većina predmeta, tako i pametne kartice imaju brojne prednosti za korištenje usluga
elektroničkog poslovanja, ali i određene nedostatke. U nastavku će biti opisani najznačajnije
prednosti i nedostaci korištenja pametnih kartica.
Prednosti pametnih kartica
Postoje broje prednost pametnih kartice, a mogu se istaknuti sigurnost, mogućnost
procesiranja i obrade podataka, prikladnost, višestrukost namjene, brži odgovor, povećan
kapacitet memorije, beskontaktne mogućnosti te značajne financijske uštede.
Sigurnost. Jedna od najvećih prednosti pametnih kartica je njihova sigurnost. Naime,
pametne kartice osiguravaju vrlo kvalitetnu tehnološku platformu i podlogu za izradu
sigurnih transakcijskih i identifikacijskih sustava koji mogu osigurati potpunu
sigurnost utvrđivanja identiteta te složeno i sigurno kriptiranje značajnih transakcija.
Lako se kombinira fizička i digitalna identifikacija i autentifikacija te se osigurava
autorizirani i autentificirani pristup informacijama. Također, postoji dodatna
mogućnost smanjenja rizika zloupotrebe korištenja putem korištenja biometrijskih
podataka (npr. otisak prsta). Pametne je kartice, za razliku od magnetskih, vrlo teško
krivotvoriti, jer je za to potrebna vrlo sofisticirana i skupa oprema.
Sposobnost procesiranja podataka. Pametne kartice, za razliku od magnetskih,
mogu memorirati podatke, ali i obavljati različite operacije s njima.
Prikladnost. Prikladnost je veoma zgodna prednost pametne kartice, jer se njome
može zamijeniti više identifikacijskih isprava. Tako postoji velik broj pametnih kartica
koje kombiniraju čip tehnologiju i tehnologiju magnetske vrpce za različite namjene
(bankovne kartice, osobne, zdravstvene i druge iskaznice, vozačke dozvole, putovnice,
kartice za parkiranje, prava pristupa i slično).
Višestruke namjene. Na jednoj pametnoj kartici može biti spremljeno više aplikacija,
čime se osigurava smanjivanje nepotrebnog gomilanja plastičnih kartica za pojedinog
korisnika. Time se smanjuju pojedinačni troškovi aplikacija. Pametne se kartice
koriste za pristup Internetu, ispisivanje elektroničkih transakcija, kao i elektroničko
plaćanje, kako na Internet kioscima i bankarskim terminalima, tako i u vlastitom domu
putem Interneta
24
Smanjeno vrijeme za odgovor. Zbog korištenja poboljšanih operacijskih sustava i
bržih procesora, vrijeme za čitanje podataka s čipa i upisivanje na njega je smanjeno,
pa pametne kartice imaju brži odziv u odnosu na druge kartice.
Personalizacija. Pametna se kartica može personalizirati jednom za trenutne i buduće
aplikacije, čime se smanjuje potreba za više kartica, a i izmjene se mogu lako obaviti.
Povećan memorijski prostor. U posljednjih je nekoliko godina došlo do snažnog
porasta memorijskog kapaciteta pametnih kartica. Ovo povećanje memorijskog
kapaciteta čini karticu još praktičnijom, zbog činjenice da može posluživati više
aplikacija na jednoj kartici, a istodobno se smanjuje trošak za svaku pojedinu
aplikaciju na kartici.
Beskontaktne mogućnosti. Važno je napomenuti da beskontaktne kartice ne trebaju
imati direktan kontakt s terminalima i čitačima. Ova karakteristika pametnih kartica je
veoma pogodna za čitav spektar primjene, od kontrole pristupa do naplate javnog
prijevoza i cestarina (npr. ENC). Takve kartice imaju brži odgovor od bilo koje vrste
kartica koja zahtijeva čitač ili terminal. Dobra karakteristika čitača za beskontaktne
kartice jest ta da mogu podnijeti ekstremne vremenske uvjete, stoga su takve kartice
veoma prikladne za industrijske i slične okoline u kojima se podrazumijevaju
pristupne kontrole, a prevladavaju nepovoljni vremenski i okolinski uvjeti (npr.
skladišta-hladnjače i slično).
Ekonomske uštede. Još jedna prednost pametnih kartica je da se sve više smanjuje
cijena njezine izrade, pogotovo ako se proizvodi u velikim serijama. Razlog tome je
razvoj tehnologije izrade čipova. Također, korištenjem takvih kartica smanjuju se
troškovi transakcija u vidu korištenja papira i obrade papirnate dokumentacije. Isto
tako, takvom se tehnologijom povećava ekonomičnost naplate cestarina i pristupnih
kontrola, jer se smanjuju troškovi radne snage, kao i troškovi održavanja sustava (npr.
naplata parkiranja).
Digitalni potpis. Digitalni je potpis velika prednost pametne kartice. On funkcionira
na bazi privatnog i javnog ključa. Dokument prolazi kroz pametnu karticu koja ga
potpisuje svojim privatnim ključem. Da dokaže da je dokument potpisao određeni
korisnik, sustav dešifrira potpis koristeći njegov javni ključ. Ako rezultat odgovara
sadržaju dokumenta, potpis je validan. Ovako potpisani dokumenti mogu se slati preko
25
Interneta uz pomoć standardnih alata za rad. Smatra se da je u ovom slučaju dokument
potpuno zaštićen.
Za svaki novi servis koji se stavi korisniku na raspolaganje kod pametne kartice ne
mora se dati nova lozinka, s obzirom na mogućnosti koje ona pruža.52
Nedostaci pametnih kartica
Kao što je već navedeno, osim brojnih prednosti pametnih kartica, postoje i određeni
nedostaci kod njihove upotrebe. Od nedostataka se može izdvojiti relativno visoka cijena u
odnosu na druge vrste kartica, mogućnost oštećenja, mala mobilnost te pogreške i
nestandardiziranost opreme.
1. Cijena. Najvećim se nedostatkom pametnih kartica u odnosu na druge kartice smatra
njezina cijena. Iako se ona smanjuje, u odnosu na druge kartice je još uvijek znatno
viša. Cijena pametne kartice ovisi o brojnim čimbenicima, kao što su vrsta
mikroprocesorskog čipa, tehnologija izrade samog čipa, kapacitet memorije,
iskorištenost kartice, sučelje za komunikaciju s čitačem i brojni drugi. Pametne kartice
s najmanjom funkcionalnošću (npr. telefonske čip kartice) imaju i najmanju cijena, a
kako kapacitet, funkcionalnost i performanse kartice rastu, tako se povećava i njezina
cijena.
52 Brzica, H., Razvojne mogućnosti elektroničke javne uprave u Hrvatskoj i primjena pametne kartice za
elektroničke javne usluge, Magistarski rad, Sveučilište u Zagrebu Ekonomski fakultet Zagreb, Poslijediplomski studij„Informatički management“
26
Slika 4: Rast cijene pametnih kartica s rastom kapaciteta, funkcionalnosti i performansi
Izvor: Smart Card & Security Basics, CardLogix,
http://www.smartcardbasics.com/pdf/SmartCardBasics.pdf , page 7. (pristupano 27.06.2013.)
2. Mogućnost oštećenja čipa. Kontaktne kartice, za razliku od beskontaktnih kod kojih
je čip zaštićen od vanjskih utjecaja i oštećenja, nemaju izolirani čip zbog potrebe
kontakta s čitačem, stoga je takav čip podložan vanjskim utjecajima i mehaničkom
oštećenju.
3. Nedovoljna mobilnost kontaktne kartice. Kod korištenja kontaktnih kartica,
korisnik za učinkovito korištenje pametne kartice mora imati dostupan čitač na
svakom uređaju (uglavnom je riječ o računalima) na kojima bi trebao koristiti funkcije
pametne kartice. Ako korisnik želi upotrijebiti karticu na računalu na kojem nije
instaliran čitač i softverska podrška, tada ga često komplicirana procedura instalacije
može odbiti od korištenja takvih usluga.
4. Greške i nestandardiziranost u opremi. S obzirom na složenost tehnologije
pametnih kartica, često se javljaju pogreške u komercijalnoj opremi, kao i slučajevi da
27
pametne kartice jednog proizvođača nisu kompatibilne s opremom (čitači, softver)
drugih proizvođača.53
2.8. PRIKAZ ALTERNATIVNIH MOGUĆNOSTI
Kao što je već navedeno, pametne kartice nisu jedina vrsta kartica koja se koristi. Postoje
brojne alternativne tehnologije pametnim karticama, sa različitim pogodnostima za
identifikacijsku karticu ili karticu za financijske transakcije.
Plastične kartice. Obične plastične kartice s otisnutom vizualnom identifikacijom
(npr. ime, prezime, adresa) često se i danas koriste za namjene gdje se informacije vizualno
provjeravaju s identifikacijske kartice korisnika. Ovakva provjera je vrlo nesigurna, jer
primjerice utvrđivanje identiteta sa osobne iskaznice je u velikoj ovisnosti o mogućnosti
službenika da prepozna sliku.
Magnetske kartice. Magnetske se kartice koriste od 70-ih godina 20. stoljeća i
njihova je primjena veoma raširena, pa se tako koriste u velikom broju aplikacija, od
bankovnih kreditnih kartica do kartica koje služe kao vozačke dozvole ili za skupljanje
bodova u supermarketima. Identifikacijske informacije se zapisuju na magnetni medij tijekom
personalizacijskog procesa i mogu biti pročitane umetanjem u čitač. Korisnički podaci
kodirani na magnetskoj traci mogu se lako kopirati i interpretirati koristeći standardne
magnetske čitače. Podaci se mogu lako i prenijeti na drugu karticu, stoga je tehnologija
magnetskih kartica pogodnija za aplikacije s nižom razinom sigurnosti.
Optička kartica. Optička kartica predstavlja tehnologiju koja se bazira na vanjskoj
opremi za čitanje, pisanje i procesiranje informacija pohranjenih na tipu materijala od kakvog
je napravljen i kompaktni disk, CD. Zbog toga se trebaju čuvati u zaštitnoj košuljici ili unutar
kutije, da se smanji mogućnost oštećenja. Optičke kartice koriste WORM (engl. Write Once
Read Many) tehnologiju za pisanje, čime se podaci mogu zapisivati i dodavati, ali ne i brisati.
Optičke kartice imaju veliki memorijski kapacitet i koriste se kao identifikacijske kartice, u
logističkim procesima te za druge namjene koje zahtijevaju pohranjivanje velike količine
podataka.
53 Brzica, H., Razvojne mogućnosti elektroničke javne uprave u Hrvatskoj i primjena pametne kartice za
elektroničke javne usluge, Magistarski rad, Sveučilište u Zagrebu Ekonomski fakultet Zagreb, Poslijediplomski studij„Informatički management“
28
Barkod. Barkod je slika promjenjivog broja linija i praznina koje služe za
označavanje prodajnih artikala, identifikacijskih kartica i pošte. Oznaka može sadržavati
određeni broj proizvoda, osobu ili adresu. Linearni barkodovi se koriste za spremanje
jednostavnih alfanumeričkih podataka, dok dvodimenzionalni barkodovi (2D) umjesto
vertikalnih linija i praznina imaju točkice i praznine. U takve površine može stati nekoliko
tisuća znakova, ali su čitači za takve kodove vrlo skupi.
U tablici broj 2. navedene su ocjene primjenjivosti pametnih kartica, magnetskih, plastičnih,
optičkih i onih s barkodom na područje sigurnosti, kapaciteta memorije, podrške za više
aplikacija, podržanosti standarda, nadogradljivosti te tehnologije.54
Tabela 2: Usporedna tablica svojstava za identifikacijsku karticu
Izvor: Brzica, H. Razvojne mogućnosti elektroničke javne uprave u Hrvatskoj i primjena pametne
kartice za elektroničke javne usluge – magistarski rad, Ekonomski fakultet, Zagreb, 2007., str. 89.
Iz priložene je tablice vidljivo da pametna kartica u potpunosti zadovoljava sve navedene
kriterije te je uvjerljivo vodeća ispred ostalih kartica. Najbliža po zadovoljavanju kriterija je
optička kartica, koja u potpunosti zadovoljava kriterije kapaciteta memorije, podrške za više
aplikacija i standarde, dok je nešto slabija u području sigurnosti, nadogradljivosti i tehnologiji.
54 Brzica, H., Razvojne mogućnosti elektroničke javne uprave u Hrvatskoj i primjena pametne kartice za
elektroničke javne usluge, Magistarski rad, Sveučilište u Zagrebu Ekonomski fakultet Zagreb, Poslijediplomski
studij„Informatički management“
29
3. PRIMJENA PAMETNIH KARTICA
Pametne su kartice, zbog svoje praktičnosti i mogućnosti upotrebe za vrlo široka područja,
praktički nezaobilazan dio poslovne, kao i osobne svakodnevice. Brojne su prednosti
tehnologije pametnih kartica, kao što je navedeno u prethodnim poglavljima, a to su
mogućnost pohrane i obrade podataka, kriptografske mogućnosti, beskontaktne mogućnost,
kao i praktičnost te dizajn. U nastavku će se opisati najvažnija i najčešća područja primjene i
korištenja pametnih kartica.55
Zbog visokih sigurnosnih zahtjeva koje pametne kartice moraju zadovoljavati, njihova
„unutrašnjost“ se obično taji, kako bi se otežali mogući napadi. Uz pojednostavljeno
korištenje, od pametnih se kartica očekuje brz razvoj i uporaba u svakodnevnom životu, stoga
je potrebno zadovoljiti sljedeće uvjete: višeuslužnost, sigurnost podataka te visoka razina
standardiziranosti. Višeuslužnost je svojstvo kartica koje podržavaju sigurno izvođenje
aplikacija namijenjenih ostvarenju različitih usluga (npr. bankovna kartica koja je ujedno i
ključ za ulazak u prostorije neke tvrtke). Sigurnost je osnovni preduvjet za sve primjene
pametnih kartica. Razvojem specifikacija i standarda proizašlih iz dosadašnjih rješenja i novih
saznanja, povećava se i sigurnost sklopovlja i aplikacija u sustavima pametnih kartica. Novi
standardi određuju i načine ostvarenja sigurnog izvršavanja i pohrane višeuslužnih
aplikacija.56
3.2. FINANCIJSKI SEKTOR
Evoluciju ljudskog društva kontinuirano slijedi i podupire trgovina i novac kao neizbježna
društveno-ekonomska kategorija. Plaćanje usluga počelo je još neposrednom razmjenom
dobara, zatim plaćanjem sredstvima točno utvrđene vrijednosti, izradom prvih kovanica i
papirnatog novca, pa sve do suvremenih elektroničkih oblika financijskih sredstava. Iako se
još uvijek najveći dio transakcija obavlja gotovinskim postupcima, prednosti plaćanja
elektroničkim novcem u usporedbi s gotovinskim prijenosom sredstava sve snažnije utječu na
55 Brzica, H., Razvojne mogućnosti elektroničke javne uprave u Hrvatskoj i primjena pametne kartice za
elektroničke javne usluge, Magistarski rad, Sveučilište u Zagrebu Ekonomski fakultet Zagreb, Poslijediplomski
studij„Informatički management“ 56
Tomislav Geceg, Prezentacijski sustav za pametne kartice, Diplomski rad, Sveučilšte u Zagrebu Fakultet elektortehnike i računarstva
30
daljnji razvoj elektroničke trgovine i unaprjeđenje pridruženih elektroničkih sredstava i
transakcija. Razvoj Interneta, povećanje sigurnosti komunikacijskih veza i globalizacija
poslovanja utječu na primjenu i postupke izgradnje elektroničkog novca i na prilagodbu
financijskih sustava u kojima se njime koristi. Veliku ulogu u tome imaju pametne kartice.
Od pametnih kartica široku primjenu u Hrvatskoj ima FINA e- kartica. To je
multifunkcionalna kartica (jedina kojom možete obaviti ukupno uredsko poslovanje), jer vam
pruža neograničen pristup (pristup svim servisima 24 sata dnevno, 365 dana u godini)
Korištenjem FINA e-kartice možete:
• predati prijavu poreza na dodanu vrijednost on - line (e-PDV)
• predati R-Sm obrasce (e-REGOS)
• predati godišnje financijske izvještaje (RGFI)
• ostvariti uvid u godišnje financijske izvještaje drugih poslovnih subjekata (RGFI)
• predati i preuzeti mjesečne i tromjesečne statističke izvještaje (RGFI)
• ostvariti pristup bonitetnim informacijama (WEB-BON)
• preuzeti podatke o tražiteljima bonitetnih informacija (WEB-BON)
• potpisivati elektroničku poštu i dokumente elektroničkim potpisom (elektronički
potpis)
• provoditi transakcije s više računa u više banaka uz korištenje samo jedne kartice (e-
plaćanje)
• elektronički pristupiti informacijama o svim koncesijama ugovorenima na području
Republike Hrvatske (WEB Registar koncesija).57
Elektronički novac predstavlja određenu valutu, koja je pohranjena na elektroničkom uređaju,
izdana u iznosu ne manjemu od istovrsne izdane monetarne valute te je općeprihvaćena kao
sredstvo plaćanja. Iako elektronički novac još uvijek nije u cijelosti zamijenio gotovinska
sredstva plaćanja, niti je stekao većinsku popularnost, financijske institucije temeljito
pokušavaju naći način kako ga približiti krajnjemu korisniku.58
57 Andrijana Iskrić, FINA e-KARTICA (INTERDISCIPLINARY MANAGEMENT RESEARCH IV“, Poreč –
2007) 58
Ćavar, S. Usporedba odabranih metoda elektroničkog plaćanja s kratkim osvrtom na pomorstvo, Naše more, 56, (5-6), 2009.
31
Vjerojatno najraširenija i najpoznatija primjena pametnih kartica je ona u financijskom
sektoru. Naime, u bankarstvu se magnetske i pametne kartice koriste u obliku kreditnih
kartica i kartica za bankomate, kao i u obliku „elektronskog novčanika“.
Kartice za bankomate se upotrebljavaju za plaćanje odmah, kreditne se kartice koriste za
plaćanje s odgodom, dok elektronički novčanici funkcioniraju po principu plaćanja unaprijed,
gdje takve kartice u trenutku izdavanja imaju neki iznos te se taj iznos smanjuje prilikom
svake kupovine.
Elektronički novčanici su podatkovni paketi s mogućnošću automatskog pribavljanja
informacija potrebnih za transakciju s pomoću Interneta, npr. broja kreditne kartice, adrese za
dostavu i slično. Nadalje, poznati su i kao sustavi za plaćanje preko Interneta, na temelju kojih
korisnik naručuje i plaća proizvode bez unošenja i slanja osjetljivih informacija e-mailom ili
internetskim protokolom. Jedan od najpoznatijih predstavnika takvih platnih sustava je
PayPal. Digitalni novčanik pruža kupcu jednostavnu i sigurnu on-line kupnju, pri čemu
osigurava privatnost podataka o kupcu i o njegovim financijskim parametrima.59
Kompanije za kreditne kartice Europay, Mastercard i Visa su definirale standard za korištenje
kreditnih kartica s čipom, EMV. EMV tehnologija uvelike pridonosi sigurnosti transakcija, a
osim toga garantira sigurnost za korisnike koji prihvate preporuke o upotrebi zaštitnih mjera.
Čip s takvih kartica je praktički nemoguće krivotvoriti, stoga se broj prijevara po kartičnom
poslovanju usvajanjem EMV tehnologije znatno smanjuje. Osim sigurnosti, značajan razlog
korištenja pametnih kartica u ovom području je potreba za zamjenjivanjem gotovine.
Korištenjem kreditnih kartica prestaje potreba nošenja većih količina gotovine, a vrlo je važno
naglasiti da zakonodavna i regulatorna tijela mogu znatno lakše ući u trag netransparentnim
tijekovima novca.60
Kod elektronskog plaćanja pametna kartica ima ulogu spremanja novčanih sredstava korisnika u
obliku elektronskog novca ili elektronskih kovanica. Elektronski se novac može koristiti za manje
kupovine. Novčana sredstva na kartici pokriva korisnikova banka preko njegovog računa u banci
ili se ta sredstva pokrivaju na neki drugi način. Prilikom plaćanja pametnom karticom, elektronski
59 Ćavar, S. Usporedba odabranih metoda elektroničkog plaćanja s kratkim osvrtom na pomorstvo, Naše more,
56, (5-6), 2009. 60
Brzica, H., Razvojne mogućnosti elektroničke javne uprave u Hrvatskoj i primjena pametne kartice za elektroničke javne usluge, Magistarski rad, Sveučilište u Zagrebu Ekonomski fakultet Zagreb, Poslijediplomski studij„Informatički management“
32
se novac skida s pametne kartice te šalje na račun davaoca usluge. U bilo koje vrijeme korisnik
može napuniti svoju karticu elektronskim novcem.
3.3. TRANSPORT
Promet ima veoma važnu i značajnu ulogu u gospodarskom razvoju države, razvoju gradova,
pokretljivosti stanovništva, organizaciji i korištenju prostora, kvaliteti okoliša i brojnim
drugim segmentima svakodnevnog života. Razvoj suvremenog svijeta, kao i značajno
povećanje prijevoza robe i putnika povećalo je složenost rješavanja prometnih problema te
međuovisnost različitih vidova prometa unutar prometnog sustava, a što je, između ostalog,
rezultiralo potrebom za sveobuhvatnim planiranje prometa. Takvo sveobuhvatno planiranje
prometa uključuje istovremenu analizu i planiranje svih vidova prometa robe i putnika. Pri
tome, sam je prometni sustav potrebno promatrati i analizirati kao dio šireg sustava (prostorne
organizacije država) sa svim svojim ekonomskim i društvenim obilježjima koje povlači za
sobom.61
Sustavno istraživanje prometa se u svijetu uvelike počelo provoditi 50-ih godina 20. stoljeća,
a bilo je potaknuto napretkom tehnologije te naglim porastom broja prijevoznih sredstava, što
je uzrokovalo daljnji razvoj gradova te značajna ulaganja u prometne infrastrukturne
građevine. Promet predstavlja značajan element ekonomije svake države. Tako npr. u
državama EU prometne usluge sudjeluju s prosječno 5% bruto društvenog proizvoda, cca 5%
ukupno zaposlenih, a prosječni udio prometa u ukupnim investicijama poduzeća iznosi 15-
20%.62
S obzirom na činjenicu da veliki gradovi sve teže podnose porast broja putnika u javnom
prijevozu i porast broja automobila na prometnicama, izlazi se traže u suvremenim naprednim
tehnologijama. Od izuzetne je važnosti kod takvih masovnih transportnih sustava ubrzati
protočnost ljudi i vozila na ključnim točkama, a uglavnom je to naplata ili kontrola ulaska i
izlaska u neko mjesto.
Primjerice, u javnom se gradskom prijevozu putne karte mogu učinkovito zamijeniti
beskontaktnim pametnim karticama, čime se može znatno ubrzati protočnost putnika te time
smanjiti troškove koji nastaju zbog prometnih gužvi. Jedna od takvih je ZET-ova kartica. To
61 Cvitanić, D. Prometna tehnika, Sveučilište u Splitu, Građevinsko-arhitektonski fakultet, Split, 2008.
62 Ibidem
33
je personalizirana kartica s fotografijom korisnika te njegovim imenom i prezimenom. Podaci
o prometnom području i roku valjanosti pohranjeni su u čipu. Vrijedi 3,5 godine od dana
izdavanja i u tom roku može se nadopunjavati mjesečnim, odnosno godišnjim pretplatnim
kuponima, sukladno uvjetima iz Cjenika ZET-a. Ta karta može uključivati i prijevoz
vlakovima HŽ-a na području grada Zagreba. 63
Osim javnog prijevoza, korisna i vrlo raširena primjena pametnih kartica je u naplati cestarine
i parkiranja. Posebno je za cestovni promet korisna i raširena naplata cestarine putem
beskontaktnih uređaja, jer se na taj način vozilo ne mora zaustavljati, nego treba samo
prilagoditi brzinu u trenutku naplate. Time se uvelike povećava protočnost vozila na kritičnim
točkama prometnica. Takva primjena je primjerice sustav ENC (elektronička naplata
cestarina). Slična je situacija i sa naplatom parkiranja i omogućavanja pristupa na određena
parkirališta vlasnicima pametnih kartica.64
3.4. MEDICINA
Medicina, a pogotovo zdravstvo je područje u kojemu uvođenje tehnologije pametnih kartica i
informacijskih sustava koji koriste takve kartice donosi znatna poboljšanja. Prvenstveno se to
odnosi na ažurnost zdravstvenih podataka o korisniku te autorizirani pristup podacima od
strane više djelatnika informacijskog sustava. Pametne kartice u obliku zdravstvene iskaznice
sadrže osnovne osobne i zdravstvene podatke o korisniku (krvna grupa, popis lijekova na koje
je korisnik alergičan, donatorski podaci, kronične bolesti i slično) te na taj način osoblje hitne
pomoći može raspolagati s vrlo korisnim informacijama u kritičnim situacijama.65
Pametne kartice sadržavaju identifikacijske podatke o pacijentima i osnovne informacije o
njihovu zdravlju koje liječnici redovito obnavljaju. Na pametnu se karticu može pohraniti
velika količina kriptiranih podataka o povijesti bolesti, uključujući podatke o kroničnim
bolestima, lijekovima koje pacijenti trenutno koriste i slično. Na taj se način smanjuju
liječničke pogreške koje nastaju uslijed nepotpunih informacija o pacijentovu zdravlju,
primjerice o alergijama na lijekove i slično. Pametne kartice mogu vitalne informacije učiniti
63 http://www.zet.hr/cijene-i-vrste-karata/zet-kartica.aspx
64Brzica, H., Razvojne mogućnosti elektroničke javne uprave u Hrvatskoj i primjena pametne kartice za
elektroničke javne usluge, Magistarski rad, Sveučilište u Zagrebu Ekonomski fakultet Zagreb, Poslijediplomski studij„Informatički management“ 65
Ibidem
34
dostupnima bez prevelikog ulaganja u skupu i kompleksnu infrastrukturu, jer je za njihovu
adekvatnu primjenu potrebno samo da bolnice imaju čitače kartica i jedinstven program.
Potrebno je istaknuti da se prije uvođenja kartica trebaju riješiti i neka sigurnosna pitanja:
koje podatke se može stavljati na takve kartice,
tko ima pristup karticama i u koju svrhu se podaci mogu upotrebljavati,
tko će i kako zaštiti pacijente ako dođe do manipulacije njihovim podacima i tko će za
to snositi troškove,
da li će bolnice razmjenjivati podatke s osiguravajućim društvima,
da li bi u posjed takvih podataka mogle doći banke, pa će nekome na temelju povijesti
bolesti odbiti zahtjev za kreditom, jer je upitno hoće li vratiti kredit i slično.
Zahtjev za sigurnošću zdravstvenih informacijskih sustava i podataka u njima jedan je od
osnovnih prioriteta. Osobni podaci, a posebno medicinski podaci o zdravlju osobe, iznimno su
štićeni kroz legislativnu strukturu modernih država. Zloporaba tih podataka zakonski je
kažnjiva i može imati dalekosežne osobne, društvene i političke posljedice. Stoga je neobično
važno pitanje organizacije sigurnosti podataka i pitanje zaštite povjerljivosti u zdravstvenim
informacijskim sustavima. Visoki stupanj zaštite sigurnosti i povjerljivosti podataka u
aplikativnim rješenjima za ordinacije primarne zdravstvene zaštite, kao i u cjelokupnom
informacijskom sustavu primarne zdravstvene zaštite postiže se najmodernijim tehnološkim i
organizacijskim sustavima kontrole pristupa na svim razinama.66
Jedna od velikih prednosti uvođenja i primjene pametnih kartica u zdravstvu je unapređenje
procesa u zdravstvenim ustanovama, jer se uvođenjem ovakvih zdravstvenih iskaznica i
informacijskih sustava smanjuju nepotrebna obilaženja zdravstvenih ustanova od strane
pacijenata. Informacijski sustavi imaju elektroničke identitete pacijenata te obavljaju dio posla
umjesto njih (npr. dostava rezultata liječničkih pretraga iz specijalističkih ustanova izravno
liječniku opće prakse ili na adresu pacijenta). Također, velika je prednost primjene pametnih
kartica, a koja je od izuzetne važnosti za državni proračun i zdravstvena osiguranja, kontrola
troškova i transparentnost kolanja recepata, lijekova, odnosno drugim riječima, novca. 67
66 Brzica, H., Razvojne mogućnosti elektroničke javne uprave u Hrvatskoj i primjena pametne kartice za
elektroničke javne usluge, Magistarski rad, Sveučilište u Zagrebu Ekonomski fakultet Zagreb, Poslijediplomski studij„Informatički management“ 67
Ibidem
35
3.5. TELEKOMUNIKACIJE I OSTALA PODRUČAJA PRIMJENE
Kao što je već navedeno, jedna od prvih masovnih primjena pametnih kartica su bile
telefonske čip kartice, koje su svojom pojavom brzo istisnule javne govornice koje su
funkcionirale na principu ubacivanja kovanica. Cijena izrade ovakvih kartica je bila relativno
niska, s obzirom da je bilo riječ o tipičnoj memorijskoj kartici sa spremljenom vrijednošću, a
bile su popularne i zbog različitih zanimljivih vizualnih dizajna.68
Kod kupovine kartica sadrži određenu količinu impulsa koja se prilikom razgovora smanjuje.
Kada se broj impulsa na kartici svede na nulu, kartica postaje neupotrebljiva. Mobilna
telefonija je danas vrlo široko područje korištenja pametnih kartica. U mobilnim telefonima su
se kartice ispočetka koristile samo za identifikaciju broja, a kasnije se uvođenjem GSM
standarda daje poseban značaj sigurnosti. Specifikacija GSM standarda zahtjeva ovjeru
korisnika te time osigurava cjelovitost podataka i povjerljivost poziva. Pametne kartice koje
zadovoljavaju navedene sigurnosne uvjete za GSM telefone su znane kao SIM moduli. GSM
specifikacije zahtijevaju pohranjivanje ključeva, podataka o korisniku i telefonskom broju, a
prilikom uključivanja mobilnog uređaja potrebno je unijeti tajni PIN broj.69
Pametne su kartice jedna od najvažnijih komponenata u mobilnim telefonima. Podaci mreže,
informacije pretplatnika i svi kritični podaci mobilne mreže smješteni su unutar pametne
kartice. Takvom karticom pretplatnik može obaviti poziv s bilo kojeg mobilnog telefona. Isto
tako, svaki poziv preko telefona može biti kriptiran, što korisniku osigurava privatnost.
Za mobilne uređaje i teblete postoje razne nove aplikaije koje se koriste za e plaćanja.
Primjeri takvih aplikacija su pay pal, i razne mobilne aplikacije koje banke nude svojim
korisnicima. Jedna od takvih aplikacija je mZABA preko koje korisnik može sa svog
mobilnog uređaja obavljati razne radnje od samog pregleda stanja računa( tekućeg, deviznog,
žiro račun) pregleda zadnjih uplata, ili npr. budućih dugovanja koja dolaze na naplatu,
obavljati razna plaćanja.70
Kartice lojalnosti potiču klijente na sakupljanje nagradnih bodova čime se postiže atraktivnost
ponude i povećana potrošnja. Uvođenje sheme lojalnosti omogućuje trgovcima, restoranima i
drugim tvrtkama koje temelje svoje poslovanje na kontinuiranom odnosu sa svojim
68Brzica, H., Razvojne mogućnosti elektroničke javne uprave u Hrvatskoj i primjena pametne kartice za
elektroničke javne usluge, Magistarski rad, Sveučilište u Zagrebu Ekonomski fakultet Zagreb, Poslijediplomski studij„Informatički management“ 69
Ibidem 70
http://www.case.hr/konferencije/smartcard2012/press
36
klijentima, vođenje evidencije klijenata, praćenje ponašanja odnosno potrošnje klijenata,
posebne promotivne akcije, popuste i sl. Neke od takvih kartica su Multiplus Card (Konzum),
Billa kartica, DM kartica i Bipa kartica (njima kupci ostvaruju svakom kupnjom nagradne
bodove, popuste na razne artikle u ponudi ili popuste na sveukupnu kupnju).71
Pametne kartice imaju primjenu i u još nekim područjima ljudskih djelatnosti. Primjerice,
koriste se za zaštitu plaćanja televizijskih programa. Princip rada je da se na kartici pohrani
ključ za dešifriranje signala koje obavlja poseban uređaj, koji je priključen između TV uređaja
i antene ili kabelskog sustava. Također, pametne se kartice se mogu upotrijebiti u računalnim
mrežama za rješavanje sigurnosnih problema pristupa. Beskontaktne pametne kartice su našle
masovnu primjenu i u poštanskim službama i aerodromima diljem svijeta. Takve kartice se
koriste u transportu i automatskom raspoređivanju pisama, paketa i poštanskih vreća.72
Pametna je kartica našla široko područje primjene u računalnoj sigurnosti, gdje se koristi za
autentifikaciju korisnika u sustavu, za čuvanje digitalnih certifikata i kriptografskih ključeva,
kao i za kriptiranje i dekriptiranje poruka. Primjer korištenja pametne kartice u računalnoj
sigurnosti je korištenje u sustavu gdje pametna kartica čuva javni i tajni ključ korisnika, koji
se tada koriste za kriptiranje i dekriptiranje poruka, kreiranje digitalnog potpisa te za čuvanje
digitalnih certifikata.73
Jedno od područja gdje je vrlo raširena primjena pametnih kartica je u području identifikacije.
Naime, postoji velik broj pametnih kartica koje su u formatu identifikacijske isprave. Od
osobne iskaznice, putovnice i vozačke dozvole.
Jedna takva identifikacijska isprava je i poznata studentska X-ica. Kartica koja studentima
služi za ostvarivanje određenih prava kao što je: subvencionirana prehrana, subvencionirani
gradski prijevoz, popusti na karte za autobusni i željeznički prijevoz, popusti na ulaznice za
kino i kazališne predstave i dr.74
Pametne kartice imaju svoju primjenu i u turizmu gdje se koriste kao zamjena za ulaznice i
karte. Ona ne traži od krajnjeg korisnika nikakvo informatičko znanje, a od pružatelja
turističkih usluga samo elementarno znanje rada s računalom u grafičkom korisničkom
71 http://www.case.hr/konferencije/smartcard2012/press
72 Brzica, H., Razvojne mogućnosti elektroničke javne uprave u Hrvatskoj i primjena pametne kartice za
elektroničke javne usluge, Magistarski rad, Sveučilište u Zagrebu Ekonomski fakultet Zagreb, Poslijediplomski studij„Informatički management“ 73
Ibidem 74
http://www.uniri.hr/index.php?option=com_content&view=category&layout=blog&id=34&Itemid=99
37
sučelju. Uz pomoć takve kartice turist ima na jednom mjestu sve što mu je potrebno za njegov
turistički doživljaj. Uz pomoć džepnog čitača pametnih kartica turist može u svakom trenutku
saznati koje sve karte/ulaznice ima na raspolaganju. Ukoliko pružatelj ne može/ne želi svojim
gostima davati džepne čitače uvjek postoji mogućnost postavljanja nekoliko računalnih
terminala, npr. u predvorje hotela, preko kojih će gosti moći doći to traženih informacija.
Primjer takve kartice u Hrvatskoj je Rab Card koja turistima pruža mogućnost posjeta raznim
kulturnim lokacijama i događajima po povlaštenim cijenama.75
Može se istaknuti podatak da je Hrvatska među vodećim zemljama u primjeni EMV čip
tehnologije, odnosno pametnih kartica. Primjerice, 90% ukupnog broja transakcija Vise u
Hrvatskoj obavljeno se primjenom EMV čip tehnologije. Ulaganje u EMV čip tehnologiju
isplativa je investicija bankama jer daje dodanu vrijednost sigurnosti transakcija na
bankomatima, posebice kada je riječ o plaćanju roba i usluga u stranim državama. Prije svega,
smanjuje se mogućnost kopiranja, tzv. skeniranja pametne kartice, što naravno povećava
sigurnost transakcije i porast povjerenja u takav način plaćanja.76
Tehnologija pametnih kartica mnogo je mnogo popularnija u Europi nego u SAD-u. Razlog
tome je što se u SAD-u prilično razvila tehnologija koja podržava kartice s magnetskom
trakom te je uloženo mnogo resursa u mreže koje osiguravaju sigurnost transakcija pa će
trebati više vremena da se prijeđe na novu tehnologiju. Zbog dodane procesorske
inteligencije, veličine i mogućnosti obrade podataka, pametna kartica može pružiti veću
sigurnost i stoga ima veliku primjenu u različitim područjima. Dakle, vidljivo je da je
primjena pametnih kartica iz dana u dan sve veća. Kontinuirano se pojavljuju nova područja
gdje se koriste pametne kartice, kako bi se olakšali i ubrzali određeni procesi.
75 http://www.novilist.hr/Vijesti/Regija/Otoci/Istrazivanje-Raba-uz-pomoc-pametnih-telefona-i-turistickih-
kartica 76
Poslovni tjednik, Hrvati preferiraju pametne kartice, 17.02.2013. (www.poslovni.hr/financijska-
trzista/hrvati-preferiraju-pametne-kartice-230891 pristupano 29.06.2013.)
38
4. EKONOMSKI UČINCI PAMETNIH KARTICA U
POSLOVANJU
Korištenje pametnih kartica usko je povezano s elektroničkim poslovanjem, pri čemu su
osnovni motivi za njihovo usvajanje i praktičnu provedbu sljedeći77:
• težnja što boljem iskorištenju svih raspoloživih poslovnih resursa, a posebice onih
informacijskih,
• nastojanje da se ostvari što bolja tržišna, odnosno konkurentska pozicija tvrtke u
odnosu prema prijašnjem stanju tih parametara,
• želja za ostvarivanjem boljih poslovnih učinaka, posebice onih najegzaktnije
mjerljivih – financijskih – u odnosu prema ranijim razdobljima,
• veći komfor u radu radnika, izvršnih djelatnika i manadžera tvrtki u kojima se takav
oblik poslovanja primjenjuje,
• bolja izobrazba i civilizacijska pozicija ljudi obuhvaćenih i okruženih takvim
poslovnim okruženjem i kulturom,
• težnja za odžavanjem koraka s općim tehnološkim razvitkom, što se smatra
investicijom za budućnost, te
• ostvarivanje različitih koristi, poput onih socijalne, političke, makroekonomske,
psihološke, itd., naravi.
Sve brži razvoj tehnologije i umreženost mogli bi ubrzati probijanje sustava elektroničkog
plaćanja, koji bi u konačnici mogli potpuno zamijeniti papirnati novac. Međutim, razvoj
sustava elektroničkog plaćanja ne ovisi samo o napretku u računalskim znanostima. Kako bi
došlo do značajnijih pomaka treba izgraditi zakonski okvir koji bi ulio sudionicima sigurnost i
omogućio brže širenje sustava elektroničkog plaćanja. Osim toga, potrebno je imati na umu
svjetsku ekonomiju i pažljivo osmisliti metode prijelaza na elektronički novac (ukoliko bi on
u budućnosti u potpunosti zamijenio običan novac). 78
Ranije u radu navedene su prednosti u korištenju pametnih kartica, no potrebno je navesti
neke od pogodnosti u korištenju pametnih kartica koje direktno utječu na poslovanje, a to su:
77 web.efzg.hr/dok//inf/bjakovic/NeoblikovaniTekst.doc, p.2
78 Elektronički novac NCERT-PUBDOC-2010-09-311, p.25
39
• Visoka razina sigurnosti informacija koje su dostupne svima, a što je izuzetno važno
za stvaranje povjerenja i dugoročnih poslovnih odnosa između svih sudionika u poslovanju,
bilo fizičkih bilo pravnih osoba.. Primjerice odnos banka – klijent ili doktor – pacijent, gdje su
pametne kartice jedan od temelja poslovanja ili to postaju.
• Mogućnost pohrane i čuvanja velikog broja informacija na jednom mjestu (izravno
smanjuje troškove potrebne za vođenje različitih evidencija, primjerice ulaska i izlaska
zaposlenika i sl.).
• Skraćivanje vremena potrebnog za obavljanje određenih transakcija (nema potrebe
odlaska u banku i čekanje na šalteru, ili posjeta određenim ustanovama jer su sve informacije
dostupne osobi u elektronskom obliku).
• Smanjenje troškova poslovanja kroz smanjenje papirologije i kadra potrebnog za
vođenje iste.
• Nema potrebe za nošenjem velike količine novca (različite kupovine, prijenos
sredstava i plaćanje računa), te slanja povjerljivih informacija mailom (prilikom online
kupovine).
• U prometu se ubrzava protočnost ljudi i vozila (nema stvaranja nepotrebnih gužvi na
određenim kritičnim punktovima, nema troškova tiskanja klasičnih putnih karata i troškova
njihove distribucije).
Kada se govori o indirektim učincima pametnih kartica posebna pozornost je na bankama koje
su pokretači masovne uporabe pametnih kartica jer njima smanjuju broj prijevara, količinu
krivotvorenog novca te broj ukradenih kartica.
Istraživanje koje je provela agencija Moody’s potvrdilo je pozitivan utjecaj upotrebe kreditnih
i debitnih kartica na globalno povećanje BDP-a i to za 983 milijardi američkih dolara u
razdoblju od 2008. do 2012. godine, odnosno rast od 1,8 posto. Bez povećanja upotrebe
kartica, taj rast bio bi 1,6 posto. Riječ je o iznosu koji može generirati 1,9 milijuna radnih
mjesta. Upotreba kreditnih kartica gospodarstvo jedne zemlje čini učinkovitijim i značajno
utječe na njezin rast. U tablici je prikazan utjecaj korištenja kartica na rast BDP-a u razdoblju
od 2008. – 2012. godine.
40
Slika 5: Korelacija uporabe kartica i rasta BDP-a
Izvor: Moody's Analitics
Upotreba kartica na tržištima u razvoju povećava njihov BDP za 0,8 posto, dok je taj postotak
na razvijenim tržištima oko 0,3 posto. To je očekivana razlika jer je na tržištima u razvoju i
ulazak kartica veći. Na primjer, povećanje BDP-a zahvaljujući elektroničkom plaćanju u
Velikoj Britaniji je 68 milijardi dolara, Mađarskoj 9,1 milijardu, u Italiji 11,4 milijarde dolara,
Njemačkoj 16,1 milijardi dolara, dok je u Francuskoj 52,7 milijardi te Češkoj Republici 1,6
milijardi američkih dolara. Povećanje potrošnje pratilo je rast popularnosti i dostupnosti
elektroničkog načina plaćanja među potrošačima na globalnoj razini.79
U Hrvatskoj ima prema posljednjim podacima HNB-a 8,7 milijuna izdanih kartica, a veliki
broj transakcija na POS terminalima širom zemlje potvrđuje da se njima plaćaju najrazličitije
stvari i kako su građani svjesni prednosti elektroničkog plaćanja. Promatra li se isto razdoblje
kao i u analizi Moody'sa, broj kartica u Hrvatskoj povećao se za 682.000 komada (rast od
8,5%). I istraživanje koje je Visa provela u kolovozu prošle godine u Splitu, Dubrovniku,
Zadru i Zagrebu, pokazalo je kako je plaćanje karticama u Hrvatskoj posebno popularno
među stranim turistima. Iako je plaćanje gotovinom i dalje dominantno, udio kartičnog
plaćanja se povećalo u odnosu na 2011. posebno kad je riječ o plaćanju za hranu (11%) i
zabavu (18%). Plaćanje karticama je popularnije među hotelskim gostima (38%), dok oni koji
odsjedaju u privatnom smještaju i dalje preferiraju plaćanje gotovinom. Čak 54 posto
inozemnih turista se hrani u restoranima, a 19 posto ih pritom plaća karticama.80
Broj kartica u optjecaju na kraju ožujka prošle godine bio je 9,16 milijuna komada, na kraju
lipnja 9,19 milijuna, a na kraju rujna 9,16 milijuna. U prosjeku je do kraja rujna 2012. broj
79 www.poslovni.hr
80Ibidem
41
kartica iznosio 9,17 milijuna komada, a godinu prije 9,08 milijuna. Uzmu li se ti prosjeci i
podijele sa ukupnim potrošenim novcem, ispada da je po jednoj kartici u devet mjeseci 2012.
trošeno 8838,6 kuna, odnosno 982,07 kuna mjesečno. Godinu prije situacija je bila nešto
drukčija. Po istoj metodologiji, u devet mjeseci je po kartici "ispeglano" 8737,61 kuna,
odnosno 970,84 kune mjesečno. S obzirom na to da svake godine sve više građana i poslovnih
subjekata koristi kartice, a manje gotovinu, ovakav trend je logičan i vrlo vjerojatno će
nastaviti sa uzlaznim kretanjem.
Na kraju rujna u optjecaju je bilo ukupno 7,02 milijuna debitnih kartica. Oduzmu li se
poslovne debitne kartice, kojih je bilo oko 340.000, građani su koristili 6,68 milijuna kartica.
To je ujedno i 3800 komada više nego u isto vrijeme godinu prije. Usporede li se ti podaci sa
brojem stanovnika od od prilike 4,4 milijuna, proizlazi da je svaki Hrvat na kraju rujna imao
jednu i pol karticu. Kroz svaku debitnu karticu u prvih devet mjeseci prošle godine prošlo je
8603 kune, odnosno prosječno 955 kuna mjesečno.
Nakon debitnih, u Hrvatskoj su najzastupljenije revolving kartice koje predstavljaju
"samoobnavljajući" kredit. Tih je kartica bilo 19.000 više nego krajem rujna 2011. Godine.
Bilo ih je ukupno 767.000 komada u optjecaju.
Prepaid kartice s druge strane zahtjevaju da korisnik unaprijed uplati novac koji će tek
potrošiti. Stoga ni ne čudi da je tih kartica na kraju rujna bilo za 16.000 komada manje nego u
2011. godini. Na kraju rujna 2012. u optjecaju ih je bilo gotovo 133.000 komada. Ukupno je
preko revolving kartica "ispeglano" 5,66 milijardi kuna, dok vrijednost transakcija prepaid
kartica iznosi 51,58 milijuna kuna.
Drugi najveći rast broja kartica u optjecaju imale su charge kartice, odnosno kartice s
odgodom plaćanja. Tih je kartica na kraju rujna bilo gotovo 6500 više nego godinu prije i na
tržištu ih je bilo 555.000 komada. Ukupna vrijednost transakcija iznosila je 7,02 milijarde
kuna i bila je 14,8 milijuna kuna viša nego godinu prije.
Kartica s odgođenom naplatom na kraju rujna bilo je 4300 manje nego godinu prije kada ih je
bilo 513.000. Što se tiče kreditnih kartica, njih je na kraju rujna u optjecaju bilo 164.000 što je
za 199 više nego godinu prije. Ukupno je putem tih kartica ispeglano 562,3 milijuna kuna, što
je 57,7 milijuna više nego godinu prije, odnosno riječ je o rastu od 11,4 posto.
Na kraju rujna 2012. u Hrvatskoj je u optjecaju je bilo ukupno 98.600 cobranding kartica, što
je za 6300 više nego u istom razdoblju prošle godine kada ih je bilo 92.000 komada. Riječ je o
42
karticama putem koje se kupnjom namirnica i tehnike robe osvajaju bodovi koji u idućim
kupnjama postaju popusti.
Ova istraživanja pokazuju da povećana upotreba kreditnih i debitnih kartica pospješuje
gospodarsku aktivnost jer smanjuje troškove transakcija i unaprjeđuje učinkovitost razmjene
roba i usluga. Pomažu potrošačima da optimiziraju svoje potrošačke odluke jer im osigurava
siguran i brz pristup novčanim sredstvima, bilo da su ona u obliku depozita ili kreditnih
kartica. Pogodnosti za trgovce su također veoma značajne zbog manje upotrebe gotovine i
čekova u sustavu, što eliminira opterećenje i rizik koji sa sobom donosi poslovanje i čuvanje
gotovine.
Središnje banke oslobođene su odgovornosti i troškova osiguranja valute, dok je za vlade
važno to što elektroničko poslovanje značajno smanjuje zone sive ekonomije jer povećava
transparentnost poslovanja.
Posljednje istraživanje agencije Moody's u 56 zemalja uistinu je pokazalo kako upotreba
kartica direktno utječe na ekonomski rast, uz povećanu efikasnost i sigurnost, ali i jača borbu
sa sivom ekonomijom. Hrvatska nije iznimka i migracija s gotovinskog na elektroničko
plaćanje pomaže jačanju hrvatskog gospodarstva.
43
5. SIGURNOST PAMETNIH KARTICA
Kartice kao sredstvo plaćanja u uporabi su već dugi niz godina. Njihov početak je bio u SAD i
to kao metalna kartica s ispupčenim znakovima, koja se koristila za plaćanje goriva.
Razvojem tehnologije te standardizacijom putem međunarodnih standarda kvalitete, danas je
u uporabi plastična kartica određenih dimenzija opremljena ispupčenim znakovima,
magnetskom trakom za elektronsko praćenje te u novije vrijeme ugrađenim
mikroelektronskim uređajem, odnosno čipom.
Činjenica je da ljudi i tržište sve više prihvaćaju razvoj tehnologije te da raste broj transakcija
pomoću kartica, takozvano „peglanje kartica“. Magnetska traka na kartici pruža mogućnost
zapisa veće količine podataka i iznimno je pogodna za elektronsko procesiranje, drugim
riječima za uporabu na bankomatima i terminalima na prodajnim mjestima. Svojstva
današnjih kartica su visoka tehnologija i sigurnost.
Kartično plaćanje je cilj napada kriminalaca. Neposredna opasnost je krivotvorenje kartica,
skidanje podataka s magnetske trake kartice i slično. Banke izdavatelji kartica pokušavaju biti
korak ispred mogućih krivotvoritelja te kao zaštitu uvode hologram, fotografiju i razne
dodatne podatke vezane uz osobnost nosioca kartice. Unatoč složenoj metodologiji zaštite,
razvojem IT tehnologije mogućnosti proboja su sve veće. Stoga je uvedena i nova kategorija
zaštite primjenom čipa na samoj kartici.
U današnje vrijeme sve raširenijeg i razvijenijeg cyber kriminala, u svim sektorima IT
tehnologije velika pažnja se pridaje sigurnosti podataka klijenata, a posebno je to važno kod
financijskih usluga i transakcija na Internetu. Osnovna misao vodilja i zahtjevi za svaki
sustav i proces u financijskom sektoru su osiguranje identiteta klijenta, tajnost podataka
transakcije, integritet transakcija i neporecivost.
Sigurnost pametne kartice obuhvaća 4 komponente. Prva komponenta je tijelo kartice. Tijelo
kartice implementira mnoštvo sigurnosnih obilježja, ne samo onih koji su čitljivi pomoću
uređaja, nego i onih koji su vizualno vidljivi i samim time odvrgnutih kontroli čovjeka.
44
Preostale komponente su hardver čipa, operativni sustav te aplikacija, a oni štite podatke i
programe kartice. To je prikazano na slici broj 5.81
Slika 6: Klasifikacija sigurnosnih komponenti pametne kartice
Aplikacija
Sigurnost pametne kartice
Pasivna zaštita
Aktivna zaštita
Tijelo kartice Hardver Operativni sustav
Izvor: Vlastiti rad autora
Prisutnost navedenih komponenti i ispravnost rada njihovih obrambenih mehanizama
osigurava sigurnost pametne kartice. Ako kartica nije predmet ljudske verifikacije, tada nije
nužna komponenta tijela kartice. Naravno, preostale tri komponente su neophodne u fizičkoj i
logičkoj zaštiti kartice. Štoviše, ako bilo koja od njih zataji ili ne zadovolji predviđenu razinu
zaštite, pametna kartica postaje nesigurna. Komponente kartice stvaraju lanac sigurnosti
pametne kartice. Ako se prekine jedna karika, puca cijeli lanac.82
5.1. VRSTE NAPADA I NAPADAČA NA PAMETNE KARTICE
Osnovni problem svih informacijskih sustava predstavlja jednostavnost kopiranja i
multiplikacija uspješnih napada. Zbog toga su izuzetno važne klasifikacije napada i napadača,
s ciljem jasnije procjene potencijalnih napada i potrebnih mjera u sprječavanju dotičnih
napada. Jasna logika stvari govori da lakše zaštiti sustav od poznatog nego od nepoznatog tipa
napada.83
81 http://os2.zemris.fer.hr/pk/2002_barta/mehanizmi.htm#_Toc518783660
82 Ibidem
83 Ibidem
45
Vrste napada na pametne kartice
Napadi na pametnu karticu, s obzirom na razinu na kojoj su izvedeni, mogu se podijeliti na tri
različita tipa napada: napadi na sociološkoj razini, napadi na fizičkoj razini te napadi na
logičkoj razini (slika 6).84
Slika 7: Klasifikacija napada na pametnu karticu
Napadi na
sociološkoj raziniNapadi na fizičkoj
razini
Napadi na logičkoj razini
Napadi na pametnu karticu
Izvor: Vlastiti rad autora
Često se u praksi navedeni tipovi napada isprepliću. Napadi na fizičkoj razini često su rezultat
pripreme za napad na logičkoj razini. Napadi na sociološkoj razini su primarno usmjereni na
ljude koji rade sa pametnim karticama. To mogu biti kreatori čipa, zaposleni u industriji
vodiča, dizajner softvera ili u kasnijem životnom ciklusu kartice korisnik kartice. Ti napadi se
samo djelomično mogu riješiti tehničkim mjerama, a osnovna se zaštita mora provoditi
organizacijskim mjerama. Zaštita od tuđih pogleda prilikom ukucavanja PIN-a provodi se
postavljanjem tastature unutar vizualnih štitova. Broj i isplativost napada usmjerenih na
programere kartica znatno se smanjuje javnim objavljivanjem korištenih procedura ili
provođenje evaluacije programskog koda pri neovisnim ocjenjivačima. U tom se slučaju
sigurnost temelji samo na tajnosti korištenih ključeva, stoga znanje razvojnog programera
prestaje biti meta napada.85
Napadi na fizičkoj razini obično zahtijevaju tehničku opremu, s obzirom da je potrebno
ostvariti fizički pristup i kontakt hardveru čipa kartice. Napadi mogu biti statički, kad
napajanje nije prisutno na čipu, ili dinamički, kad se napad izvršava za vrijeme rada čipa.
84 An Overview of Smart Card Security, http://people.cs.uchicago.edu/~dinoj/smartcard/security.html
(pristupano 01.07.2013.) 85
http://os2.zemris.fer.hr/pk/2002_barta/mehanizmi.htm#_Toc518783660
46
Statički napad ne nameće vremenska ograničenja, stoga napadač može „raditi u miru“. Za
razliku od statičkog, dinamički napad zahtijeva sofisticiranu opremu za mjerenje podataka sa
brzim odazivom na izmjerene podatke.86
Najuspješniji napadi na pametne kartice izvode se na logičkoj razini. Oni su rezultat ljudskog
razmišljanja i rada strojeva. Ova kategorija napada uključuje klasičnu kriptoanalizu, napade
koji koriste poznate greške operativnih sustave kartice te trojanske konje unutar izvršnog
programskog teksta aplikacija kartice.
Sve ranije navedene napade može se podijeliti na pasivne i aktivne (slika 7.).87
Slika 8: Vrste napada s obzirom na aktivnost
Napadi na pametnu
karticu
Aktivni napadi Pasivni napadi
Izvor: Vlastiti rad autora
Prilikom pasivnog napada, napadač analizira šifrirani tekst ili kriptografski protokol, provodi
mjerenja nad čipom, ali prilikom toga ne vrši nikakve promjene. Za razliku od pasivnog
napada, aktivnim napadom se rade određene promjene te se napadač neovlašteno upliće u
prijenos podataka i rad čipa.88
Vrste napadača na pametne kartice
Kako bi se mogla procijeniti snaga i slabost napada na sigurnost pametne kartice, izuzetno je
važno poznavati moguće tipove napadača. Osnovni tipovi motivacije za napad su pohlepa,
odnosno novac, a drugi želja za statusom i slavom unutar određene scene ili grupe. Sa
stanovišta operatera sustava je praktički svejedno da li je napad došao od lopova ili
86 http://os2.zemris.fer.hr/pk/2002_barta/mehanizmi.htm#_Toc518783660
87 An Overview of Smart Card Security, http://people.cs.uchicago.edu/~dinoj/smartcard/security.html (prist
http://os2.zemris.fer.hr/pk/2002_barta/mehanizmi.htm#_Toc518783660upano 01.07.2013.) 88
http://os2.zemris.fer.hr/pk/2002_barta/mehanizmi.htm#_Toc518783660
47
znanstvenika, jer oba napada rezultiraju značajnim financijskim gubitkom i narušenom
reputacijom sigurnosti sustava, dok se u najgorem slučaju sustav gasi, sve kartice se blokiraju
te se izdaju nove, imune na napad. 89
Na slici broj 8. prikazana je klasifikacija različitih tipova napadača. Svi oni mogu biti jednako
opasni po sustav, a razlikuju se po svojim sposobnostima i mogućnostima.90
Slika 9: Klasifikacija mogućih tipova napadača
Akademska institucija
Zločinačka organizacijaOrganizacija
Haker
Unutrašnji napadač
Zločinac
Pojedinac
Napadač
Izvor: vlastiti rad autora
Tipičan haker najčešće ima srednji nivo znanja o sustavu, kreativne ideje i grupu njemu
sličnih prijatelja. Obično ne posjeduje veliku količinu opreme te je financijski ograničen. Ako
primjeni odgovarajući pristup, može putem Interneta doći do značajne procesorske snage.
Unutrašnji napadač ima pristup hardverskim i softverskim komponentama. Posjeduje zavidnu
količinu znanja o sustavu i upoznat je sa slabim točkama tog sustava. S obzirom na relativno
mali broj unutrašnjih napadača, teško može ostati anoniman, dakle neotkriven. Još jedna
grupa potencijalnih individualnih napada su zločinci. Oni obično ne posjeduju visoku razinu
tehničkog znanja, ali ulažu veliku količinu energije u postizanje konačnog dobitka (uglavnom
financijskog).91
Kada je riječ o organizacijama, ne smije se zanemariti da potencijalni izvor napada
predstavljaju i akademske institucije, sa svim svojim studentima i profesorima. Oni obično
nemaju specijalistička znanja unutrašnjih napadača, ali zato posjeduju zavidnu razinu
generalno korisnog znanja. Imaju pristup velikoj bazi tehničke radne snage i odgovarajućim,
89 http://os2.zemris.fer.hr/pk/2002_barta/mehanizmi.htm#_Toc518783660
90 An Overview of Smart Card Security, http://people.cs.uchicago.edu/~dinoj/smartcard/security.html
(pristupano 01.07.2013.) 91
http://os2.zemris.fer.hr/pk/2002_barta/mehanizmi.htm#_Toc518783660
48
tehnički dobro i adekvatno opremljenim laboratorijima. Isto tako, organizirane zločinačke
organizacije predstavljaju potpuno drugačiji izvor napada na sustave pametnih kartica. Na
osnovu dostupnih izvora novca i kriminalnih sredstava stječu znanje i tehniku opremu
potrebnu za uspješan napad.92
5.2. NAPADI I PROTUMJERE U FAZAMA ŽIVOTNOG CIKLUSA
KARTICE
Postoje razne vrste napade, a samim time i protumjere na te napade, ovisno o fazi životnog
ciklusa pametne kartice.
Razlikuju se napadi u fazi razvoja kartice, napadi u fazi razvoja operativnog sustava, napadi
za vrijeme proizvodnje kartice te napadi za vrijeme korištenja kartice (slika broj 9.).93
Slika 10: Klasifikacija napada u odnosu na vrijeme odvijanja napada
Vremenska podjela napada
Napadi u fazi
razvoja kartice
Napadi u fazi
razvoja operacijskog
sustava
Napadi u fazi
proizvodnje
kartice
Napadi u fazi
korištenja kartice
Izvor: vlastiti rad autora
Napadi u fazi razvoja kartice
Jedan od mogućih napada koji je karakterističan za fazu razvoja pametne kartice je krađa
dizajnerske dokumentacije. Isto tako, moguće su neovlaštene promjene u dokumentaciji, kao i
namjerno ostavljanje nedokumentiranih mogućnosti koje kasnije nisu detaljno testirane.
Takve je mogućnosti, ukoliko „procure“ izvan povjerljivih krugova, u kasnijim fazama
92 http://os2.zemris.fer.hr/pk/2002_barta/mehanizmi.htm#_Toc518783660
93 Coia, A. Security Is Not Child's Play, Card Technology, kolovoz 2002.
http://www.accessmylibrary.com/coms2/summary_0286-25771554_ITM (pristupano 01.07.2013.)
49
moguće iskoristiti za napade. Protumjere koje se mogu primijeniti vezane uz te napade su
izvođenje cjelokupnog postupka dizajna u strogo kontroliranim i nadgledanim uvjetima, na
računalnoj opremi izoliranoj od ostatka svijeta. Potom je moguće dodatno zaštititi čip.94
Generalno se može reći, vezano za napade u fazi razvoja, da je pristup dotičnim uređajima i
objektima izrazito težak i da je potrebna visoka razina stručnog znanja. Time je atraktivnost
napada značajno umanjena, iako je potencijalna opasnost uspješnog napada u ovoj fazi i dalje
prisutna, zbog vrlo široke mogućnosti manipulacije hardverom i softverom.
Napadi u fazi razvoja operacijskog sustava
Napadi koji su karakteristični za ovu fazu su također krađa dokumentacije te neovlaštene
izmjene sadržaja dokumentacije. U ovoj fazi postoji još veća mogućnost pojave grešaka nego
je to slučaj u dizajnu mikroprocesora. Osnovno za razvoj operativnog sustava pametnih
kartica je da se cijeli proces izvodi na provjerenoj opremi u kontroliranim uvjetima. Često se
koristi i više simulatora i prevoditelja programskog koda, kako bi sigurnost i ispravnost
dobivenog koda bila što veća. Isto tako, od velike je važnost da računalna oprema koja se
koristi pri razvoju operativnih sustava pametnih kartica bude izolirana od ostataka svijeta,
dakle da ne bude spojena na Internet i ostale mreže. Ne smije postojati točka mogućeg
prodora iz vanjske mreže.95
Napadi za vrijeme proizvodnje kartice
Napadi u ovoj fazi su jako zanimljivi sa stajališta unutarnjih napada. Postoje nizovi mogućih
napada koji se mogu izvesti u ovoj fazi. Jedan od najzanimljivijih napada u ovoj fazi razvoja
je zamjena s čipovima koji su identični pravim čipovima i uz to imaju funkciju za izbacivanje
sadržaja memorije, kad im se za to izda naredba. Ipak, treba naglasiti da je ovaj napad prilično
nerealan, jer se u svakom koraku proizvodnje vrši provjera autentičnosti čipova te se
danonoćno nadgledaju.96
94 http://fly.srk.fer.hr/~colt/paper/Ergonomija_seminar.pdf
95 Ibidem
96 Ibidem
50
Napadi za vrijeme korištenja kartice
U ovoj fazi postoji široka lepeza napada, koja se kreće od moguće krađe kartice i PIN-a pa
sve do otkrivanja nekih zajedničkih svojstava koja pokazuju određenu sigurnosnu anomaliju.
Ti su napadi općenito pojedinačni te najčešće prolaze bez većih posljedica za širu zajednicu,
nego je obično oštećen pojedinačni korisnik. S obzirom da kontinuirano raste razina sigurnosti
uporabe kartica, kao i svijest i znanje ljudi o opasnostima od neadekvatnog čuvanja i
korištenja kartica, realno je očekivati da će u budućnosti najveći dio ovakvih napada biti
suzbijen u potpunosti.97
5.3. SIGURNOSNI MEHANIZMI
Sigurnosni mehanizmi predstavljaju temelj sigurnosti pametnih kartica. Sastoje se od
algoritama kriptiranja, funkcija sažimanja te algoritama za razmjenu ključeva. Opisani se
mehanizmi uglavnom koriste kod pametnih kartica, a osim navedenih postoje još neki manje
zastupljeni. Sigurnost je jedno od najvažnijih obilježja pametnih kartica. To je često primarna
važnost, posebno kod financijskih aplikacija, kao i u slučajevima kada je u pitanju privatnost
podataka. Za razliku od pasivnih sustava, kao što su kartice s magnetskom trakom, pametne
su kartice primjer aktivnog sustava, sa svojom ugrađenom inteligencijom te su sposobne
pretrpjeti razne napade od strane neautoriziranih osoba, koje imaju namjeru prijevare ili pak
čitanja povjerljivih podataka spremljenih na kartici.98
Uvođenje takve pametne kartice pruža sigurnu tehnologiju koja zajedno s odgovarajućom
organizacijom primjene sprječava moguću zlouporabu. Osnovni identifikator nosioca kartice -
PIN, sada je sigurno spremljen u štićeno okružje čipa te nema opasnosti od njegove provale,
čitanja, umnažanja ili zlouporabe. Tehnologija pametne kartice omogućuje i dodatne
funkcionalnosti: izmjenu PIN-a po želji nosioca kartice, automatsko ažuriranje funkcija
kartice bez potrebe povrata kartice izdavatelju koje se obavlja automatski na bankomatu ili
terminalu prodajnog mjesta prilikom prijave za transakcijom. Pametna kartica se odlikuje i
novom, višom razinom zaštite, implementacijom kriptografskih algoritama za kriptiranje
podataka na kartici i u prijenosu kartičnih i transakcijskih podataka od, na primjer bankomata
do autorizacijskog centra.99
97 http://fly.srk.fer.hr/~colt/paper/Ergonomija_seminar.pdf
98 http://spvp.zesoi.fer.hr/seminari/2004/smart_card-sstuglin.pdf
99 http://arhiva.trend.hr/clanak.aspx?BrojID=29&KatID=5&ClanakID=353
51
Neki od principa sigurnosti pametnih kartica su:
· Integritet podataka. Ovo je funkcija sigurnosti koja provjerava određene
karakteristike dokumenta i transakcije. Ovaj mehanizam osigurava da podaci nisu
prilikom prijenosa oštećeni ili izgubljeni. Karakteristike dokumenta i transakcije
provjeravaju se kako bi se utvrdila točnost podataka i pravilna autorizacija. Integritet
podatak se postiže elektroničkom kriptografijom, koja dodjeljuje jedinstveni identitet
podacima kao npr. otisak prsta. Na taj način promjena tog identiteta signalizira neku
promjenu i na taj način se može znati da li su podaci bili podloženi promjeni.
· Autentičnost. Ovaj mehanizam prvo ispituje, a zatim potvrđuje pravilan identitet
osoba koje sudjeluju u transakciji podataka. Digitalni potpis provjerava podatke i
njihovo porijeklo te procesira identitet kojeg uzajamno mogu provjeriti sve strane koje
sudjeluju u transakciji.
· Autorizacija. Ovaj mehanizam eliminira mogućnost razdvojivosti ili dodavanja
digitalnog potpisa u poruku, a kojeg bi druga strana proglasila točnim. Autorizacija je
proces u kojem se dozvoljava pristup posebnim podacima u sustavu. Na taj način se
mogu postaviti privilegije upravljanja nekim podacima od strane određenih osoba.
· Povjerljivost i kriptografija. Povjerljivost je mehanizam koji koristi postupak
kriptografije kako bi se zaštitila informacija od neautoriziranog pristupa. Npr. običan
tekst je pretvoren u šifrirani oblik pomoću nekog algoritma, a zatim dešifriran u običan
tekst istim postupkom. Dakle, kriptografija je metoda pretvorbe podataka iz oblika
koji je čitljiv ljudima u neki drugi oblik, a zatim natrag u njegov originalni čitljiv
oblik, kako bi se otežao pristup neovlaštenim osobama. Kriptografija se koristi u
osiguravanju privatnosti podataka, integriteta podataka prepoznavanjem da li su
podaci bili podvrgnuti neovlaštenom postupku, u osiguravanju jedinstvenosti
podataka, provjeravanjem da li je poruka originalna ili je kopija (pošiljatelj u
originalnu poruku dodaje neki jedinstveni identitet, kojeg primatelj zatim provjerava).
Originalni podaci mogu biti obliku koji je čitljiv ljudima ili u obliku koji prepoznaju
računala, kao npr. baza podataka, tablica ili slika. Originalni podaci se nazivaju
nekriptirani podaci ili običan tekst. Podaci koji su podvrgnuti postupku kriptografije
nazivaju se kriptirani podaci ili šifriran tekst. Proces koji pretvara podatke u kriptirane
naziva se enkripcija, a obrnuti postupak ,dakle pretvaranje kriptiranih podataka u
originalni oblik naziva se dekripcija. Da bi se podaci mogli pretvoriti iz jednog oblika
52
u drugi, potrebno je imati enkripcijski algoritam i ključ. Ako je isti ključ korišten za
enkripciju i dekripciju, on se naziva simetrični ključ, a algoritam je prema tome
simetrični Ako su različiti ključevi korišteni za enkripciju i dekripciju, algoritam se
naziva asimetrični algoritam.
· Digitalni potpis. Sustav kriptografije omogućava i digitalni potpis dokumenta. Za
digitalni potpis se najprije generira sažetak dokumenta, na način da se definira kratak
niz koji jednoznačno definira dokument iz kojeg je nastao. Naime, nemoguće je
današnjim tehnikama kriptoanalize iz poznatog sažetka generirati izvorni dokument i
nemoguće je kreirati dva različita dokumenta koji bi imali isti sažetak. Digitalni potpis
dokumenta je zapravo sažetak dokumenta enkriptiran tajnim ključem pošiljatelja.
Primatelj poruke može primljeni potpis dekriptirati javnim ključem pošiljatelja koji
mu je dostupan te dobiveni sažetak usporediti sa sažetkom koji je generirao iz
primljenog dokumenta. Ako su sažeci jednaki onda je sigurno da ga je poslao
deklarirani pošiljatelj i dokument sigurno nije u međuvremenu promijenjen.100
Pametne kartice se danas nalaze u primjeni na najrazličitijim mjestima: satelitskoj televiziji,
javnom prijevozu, identifikacijskim karticama, vozačkim dozvolama, karticama za mobitele
(SIM), kreditnim i debitnim platnim karticama, e-vladi itd. Uvođenje tehnologije čip kartica
zahtijeva primjenu nove sigurnosne tehnologije u postupku personalizacije kartica i koja se
razlikuje od one u klasičnim plastičnim karticama s magnetskom trakom.
U pametne se kartice, kao programska potpora, ugrađuje operativni sustav i neki od
algoritama za kriptiranje. Općenito gledano, kripto sustavi se dijele na simetrične i
asimetrične kripto sustave. Simetrični kripto sustavi koriste samo jedan ključ na obje strane
kanala komunikacije. Takav ključ se naziva tajni ključ. Za razliku od simetričnih, asimetrični
kripto sustavi imaju par ključeva. Na svakoj strani komunikacijskog kanala se nalazi po jedan
ključ iz para. Ključevi asimetričnog kripto sustava se nazivaju javni i privatni ključ. 101
Imajući u vidu sve te elemente, pametna kartica je zaštićena od kopiranja, metodologija
autentifikacije nosioca kartice i same kartice u sustavu autorizacije čini transakciju sigurnom,
a tehnologija raspodjele funkcionalnosti u radu omogućuje čak i uskraćivanje daljnje uporabe
kartice tako da ju bankomat "pojede".
100 http://spvp.zesoi.fer.hr/seminari/2004/smart_card-sstuglin.pdf
101 http://fly.srk.fer.hr/~colt/paper/Ergonomija_seminar.pdf
53
6. ZAKLJUČAK
U današnje vrijeme, u uvjetima ubrzanog života i rada, konkurentne na tržištu mogu biti samo
one tvrtke koje svoje poslovanje obavljaju brže, jednostavnije i jeftinije. Internet, a s njim i
razvoj internetskih usluga riješili su problem velikih gužvi i redova na šalterima te je tvrtkama
dao mogućnost da same biraju vrijeme kada će obavljati određene poslovne radnje, odnosno
kako će organizirati svoje poslovanje.
Visoka tehnologija i sigurnost karakteristika su današnjih pametnih kartica. U današnjem
svijetu, u kojem tehnologija uzima sve više maha, nastaju mnoge nove usluge s ciljem da
ljudima i poslovnim subjektima na razne načine olakšaju život, a ključna riječ pritom je
konvergencija. Ona znači objedinjavanje više različitih usluga pa čak i uređaja u jedan.
Smart Card ili tzv. „Pametna kartica“ je plastična kartica veličine obične kreditne kartice
kakve su prisutne u svakodnevnom životu, s tim da u sebi ima ugrađen čip na kojem se nalaze
procesor, memorija (RAM i ROM) i sklopovi koji omogućavaju komunikaciju odnosno
razmjenu podataka s okolinom. Ono što ove kartice čini pametnima je upravo čip. Ova veza
između prikladne plastične kartice i mikroprocesora omogućava pohranu ogromne količine
podataka, njihovo dohvaćanje i procesiranje, bilo on-line ili off-line. Pametne kartice mogu
pohraniti nekoliko stotina puta više podataka nego dosadašnje obične kartice s magnetskom
trakom. Informacija ili aplikacija pohranjena na čipu u kartici prenosi se pomoću ugrađenog
sklopovlja do terminala ili čitača kartice. Beskontaktne pametne kartice imaju u sebi ugrađenu
antenu s kojom bežično komuniciraju s čitačem kartica, koji također imaju sličan takav
modul, čime se postiže veća komfornost i fleksibilnost.
Pametne kartice omogućavaju izgradnju sustava za autentifikaciju korisnika s velikom
razinom modularnosti, samostojnosti, sigurnosti, nadogradnje, jednostavnosti i
funkcionalnosti. Pametne kartice imaju sve širu primjenu i sve više zamjenjuju stare kartice s
magnetskom trakom. U mnogim zemljama postoje sustavi poput zdravstvenog osiguranja koji
su bazirani na pametnim karticama. Sigurno je da će u vrlo bliskoj budućnosti doći
univerzalne pametne kartice, koje će biti osobna i zdravstvena iskaznica, kreditna kartica,
vozačka dozvola i putovnica, kartica za pristup sigurnim mrežnim servisima i još mnogo toga.
Potrebno je istaknuti da je pametna kartica izuzetno siguran uređaj. To je sigurno mjesto za
pohranu vrijednih podataka kao što su privatni ključevi, brojevi računa i vrijedni osobni
54
podaci. Isto tako, to je sigurno mjesto za obavljanje procesa enkripcija javnog ili privatnog
ključa. Prema tome, može se zaključiti da pametna kartica može biti veoma važan element
rješenja sigurnosnih problema u modernom svijetu.
Uloga pametnih kartica u novčanim i ostalim transakcijama očita je i neizbježna.
Interoperabilnost, standardizacija i razvoj izazovi su koji su postavljeni današnjim pametnim
karticama. Ti izazovi nisu jednostavni, jer će se uz pomoć industrije javiti inovativna rješenja
koja spajaju nove tehnologije (poput interaktivne televizije, pametnih mobilnih telefona,
ručnih digitalnih organizatora, elektroničkih novčanika i Interneta. Uslijed zahtjeva na sve
široj primjeni pametnih kartica javlja se potreba za bržim razvojem kartičnih aplikacija.
Sigurnosni zahtjevi se neprestano mijenjaju, nema proizvođača pametnih kartica koji može
reći da je njegov proizvod otporan na sve moguće napade.
Pristup sigurnosti pametnih kartica sve se više okreće standardizaciji. Prepoznavanje
opasnosti, njihova specifikacija i protumjere implementirane prema standardima, znatno će
pojednostaviti korištenje i razumijevanje s jedne strane, a otežati gubitak informacije s druge.
Sigurnosna evaluacija rješenja treba početi u što ranijoj fazi izrade i teći paralelno s razvojem
u cilju pristupačnog i pouzdanog rješenja. Neovisnost proizvođača modula pametnih kartica i
proizvođača kartičnih operacijskih sustava uzrokovati će niže cijene kartičnih sustava. Od
pametnih kartica se u budućnosti očekuje raširena uporaba na svim područjima ljudskih
djelatnosti, objedinjavanje više usluga na jednoj kartici i lakše poslovanje uz maksimalnu
sigurnost.
Pametna je kartica aktivni sustav te je sa svojom ugrađenom inteligencijom sposobna
pretrpjeti razne napade od strane neautoriziranih osoba, koje imaju namjeru prijevare ili pak
čitanja povjerljivih podataka spremljenih na kartici. Naravno, ne može se tvrditi da su
pametne kartice 100% sigurne, jer se svaki sustav može ugroziti uz dovoljnu količinu resursa
koji je potrebno uložiti da bi se to ostvarilo. Ipak, pitanje da li će se sustav moći ugroziti ovisi
o tome da li se to isplati učiniti, tj. da li je razina sigurnosti veća od razine truda i resursa koji
bi trebalo uložiti da bi se ona ugrozila. Dakle, stoji činjenica da pametne kartice pružaju
daleko veću razinu sigurnosti nego obične kartice s magnetskom trakom. Kako bi se ugrozila
sigurnost pojedine transakcije s pametnom karticom, potrebno je uložiti znatna sredstva i
resurse, s upitnim ishodom i isplativošću takvog pothvata. Zbog toga razloga se slobodno
može kazati da su pametne kartice iznimno sigurne i pouzdane za upotrebu.
55
Literatura
1. An Overview of Smart Card Security,
http://people.cs.uchicago.edu/~dinoj/smartcard/security.html
2. Barta Renato, Sigurnosni mehanizmi pametne kartice, Seminarski rad, Sveučilište u Zagrebu Fakultet elektrotehnike i računarstva (http://os2.zemris.fer.hr/pk/2002_barta/index.htm)
3. Bošnjak T. Pametne kartice i prapadni čitači, Seminarski rad, Sveučilište u Zagrebu Fakultet elektrotehnike i računarstva http://fly.srk.fer.hr/~colt/paper/Ergonomija_seminar.pdf
4. Brzica, H. Razvojne mogućnosti elektroničke javne uprave u Hrvatskoj i primjena
pametne kartice za elektroničke javne usluge – magistarski rad, Ekonomski fakultet,
Zagreb, 2007.
5. Card World – User Guide 2006; International Journal for the card, financial and retail
services; 2006.
6. Coia, A. Security Is Not Child's Play, Card Technology, kolovoz 2002.
http://www.accessmylibrary.com/coms2/summary_0286-25771554_ITM
7. Cvitanić, D. Prometna tehnika, Sveučilište u Splitu, Građevinsko-arhitektonski
fakultet, Split, 2008.
8. Ćavar, S. Usporedba odabranih metoda elektroničkog plaćanja s kratkim osvrtom na
pomorstvo, Naše more, 56, (5-6), 2009.
9. Dragić Darko, Pametne kartice u web okruženju, Semniarski rad
(http://www.seminarskirad.biz/seminarski/pametne%20kartice%20u%20web%20orku
%C5%BEenju%20-%20master.pdf)
10. Geceg Tomislav, Prezentacijski sustav za pametne kartice, Diplomski rad, Sveučilšte u Zagrebu Fakultet elektortehnike i računarstva
11. http://dtva.rs/index_files/Racunarstvo/EPoslovanje_files/03SmaKar/03SmaKar_files/P
age311.htm
12. http://dtva.rs/index_files/Racunarstvo/EPoslovanje_files/04StaApl/04StaApl_files/Pag
e298.htm
13. http://kvaliteta.inet.hr/t_pv3071b.htm
14. http://sr.wikipedia.org/wiki/Smart_kartica
15. http://www.zet.hr/cijene-i-vrste-karata/zet-kartica.aspx
16. http://www.uniri.hr/index.php?option=com_content&view=category&layout=blog&id
=34&Itemid=99
17. http://www.novilist.hr/Vijesti/Regija/Otoci/Istrazivanje-Raba-uz-pomoc-pametnih-
telefona-i-turistickih-kartica
18. http://arhiva.trend.hr/clanak.aspx?BrojID=29&KatID=5&ClanakID=353
56
19. Iskrić Aandrijana, FINA e-KARTICA (INTERDISCIPLINARY MANAGEMENT
RESEARCH IV“, Poreč – 2007)
20. Pavlović Miroslav, Pametne kartice, Magistarski rad, Univerzitet singidunum Fakultet
za poslovnu informatiku Beograd
21. Petri, S. An Introduction to smart cards,
http://artofconfusion.org/smartcards/docs/intro.pdf
22. Poslovni tjednik, Hrvati preferiraju pametne kartice, 17.02.2013.
(www.poslovni.hr/financijska-trzista/hrvati-preferiraju-pametne-kartice-230891)
23. Pote, G. Smart Card Business in Asia Pacific, Global Platform Business Seminar,
Shanghai, http://www.globalplatform.org/documents/presentations/12-
APSCA%20GPSH%20Business%20-Shanghai2006.pdf
24. Radovan Aleksander, Sigurnosni mehanizmi za rad s pametnim karticama, Diplomski
rad, Sveučilište u Zagrebu Fakultet elektrotehnike i računarstva
25. Rankl, W., Effing, W. Smart Card - Hand Book: Second Edition, John Wiley &
Sons, New York, 1999.
26. Scherzer, H. SmartCard Operating System Potential risks and security
countermeasures, IBM Germany Corp., Boeblingen, 2003.
27. Smart Card & Security Basics, CardLogix,
http://www.smartcardbasics.com/pdf/SmartCardBasics.pdf
28. Štuglin Silvije, Smart card, Seminarski rad (http://spvp.zesoi.fer.hr/seminari/2004/smart_card-sstuglin.pdf)
29. Tutorial - Introduction to Smart Cards, www.smartcard.co.uk/tutorials/sct-itsc.pdf ,
30. Uvod u sigurnost pametnih kartica
http://www.xmarks.com/site/home.hkstar.com/~alanchan/papers/smartCardSecurity
31. Vuksanović, E. Elektronsko bankarstvo, Fakultet za bankarstvo, osiguranje i
finansije, Institut ekonomskih nauka, Beograd, 2006.
32. web.efzg.hr/dok//inf/bjakovic/NeoblikovaniTekst.doc, p.2
33. Elektronički novac NCERT-PUBDOC-2010-09-311, p.25
34. www.poslovni.hr
35. http://www.case.hr/konferencije/smartcard2012/press
57
Popis tablica
Redni broj Naslov tablice Stranica
1. Globalno tržište pametnih kartica – predviđanje rasta prodaje do 2013. 6
2. Usporedna tablica svojstava za identifikacijsku karticu 28
Popis slika
Redni broj Naslov slike Stranica
1 Fizička struktura pametnih kartica 7
2 Tipovi kartica 13
3 Faze i prava pristupa tijekom životnog ciklusa pametne kartice 22
4 Rast cijene pametnih kartica s rastom kapaciteta, funkcionalnosti i performansi 26
5 Korelacija uporabe kartica i rasta BDP-a 40
6 Klasifikacija sigurnosnih komponenti pametne kartice 44
7 Klasifikacija napada na pametnu karticu 45
8 Vrste napada s obzirom na aktivnost 46
9 Klasifikacija mogućih tipova napadača 47
10 Klasifikacija napada u odnosu na vrijeme odvijanja napada 48
58
IZJAVA
Kojom izjavljujem da sam diplomski rad s naslovom „PAMETNE KRATICE U
POSLOVANJU“ izradio samostalno pod voditeljstvom Prof. dr. sc. Slavomir Vukmirović. U
radu sam primjenio metodologiju znanstveno istraživačkog rada i koristio literaturu koja je
navedena na kraju diplomskog rada. Tuđe spoznaje, stavove, zaključke, teorije i zakonitosti
koje sam izravno ili parafrazirajući naveo u diplomskom radu na uobičajen, standardan način
citirao sam i povezao s fusnotama s korištenim bibliografskim jedinicama. Rad je pisan u
duhu hrvatskoga jezika.
Student
Kristijan Katić