ES2296321T3 - Metodo para cargar datos en una tarjeta con microprocesador. - Google Patents

Metodo para cargar datos en una tarjeta con microprocesador. Download PDF

Info

Publication number
ES2296321T3
ES2296321T3 ES98202087T ES98202087T ES2296321T3 ES 2296321 T3 ES2296321 T3 ES 2296321T3 ES 98202087 T ES98202087 T ES 98202087T ES 98202087 T ES98202087 T ES 98202087T ES 2296321 T3 ES2296321 T3 ES 2296321T3
Authority
ES
Spain
Prior art keywords
card
data
stage
loading
encryption
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
ES98202087T
Other languages
English (en)
Inventor
Christian Dietrich
Willem Isphording
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Groupement D'interet Public "carte De Professionnel De Sante"
GRP D INTERET PUBLIC CARTE DE
Schlumberger SA
Original Assignee
Groupement D'interet Public "carte De Professionnel De Sante"
GRP D INTERET PUBLIC CARTE DE
Schlumberger SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Groupement D'interet Public "carte De Professionnel De Sante", GRP D INTERET PUBLIC CARTE DE, Schlumberger SA filed Critical Groupement D'interet Public "carte De Professionnel De Sante"
Application granted granted Critical
Publication of ES2296321T3 publication Critical patent/ES2296321T3/es
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/355Personalisation of cards for use
    • G06Q20/3552Downloading or loading of personalisation data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/409Device specific authentication in transaction processing
    • G06Q20/4097Device specific authentication in transaction processing using mutual authentication between devices and transaction partners
    • G06Q20/40975Device specific authentication in transaction processing using mutual authentication between devices and transaction partners using encryption therefor

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Physics & Mathematics (AREA)
  • Accounting & Taxation (AREA)
  • General Physics & Mathematics (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Finance (AREA)
  • Computer Security & Cryptography (AREA)
  • Storage Device Security (AREA)

Abstract

LA INVENCION SE REFIERE A UN METODO DE DESCARGA DE DATOS EN UNA TARJETA CON MICROPROCESADOR. SE CARACTERIZA POR QUE LOS DATOS (1) SE CODIFICAN (3) CON UNA CLAVE SECRETA K SEC PERTENECIENTE A LA PERSONA U ORGANISMO FACULTADOS PARA PROGRAMAR LA TARJETA. LA TARJETA CON MICROPROCESADOR VA PROVISTA ASIMISMO DE UNA CLAVE PUBLICA K PUB PARA DESCODIFICAR (5) LOS DATOS EN SU FORMA CODIFICADA (4). LA CLAVE SECRETA K SEC Y LA CLAVE PUBLICA K PUB PERTENECEN A UN ALGORITMO DE CODIFICADO ASIMETRICO, POR EJEMPLO, EL ALGORITMO RSA.

Description

Método para cargar datos en una tarjeta con mocroprocesador.
La presente invención hace referencia a un método para cargar datos seguros en una tarjeta inteligente.
En un sistema habitual, la carga o descarga de los datos en una tarjeta se efectúa por medio de una aplicación externa y con una instrucción específica al sistema operativo de la tarjeta. Los datos cargados por la aplicación externa pueden incluir, por ejemplo, instrucciones suplementarias que completen o sustituyan la totalidad o una parte del conjunto de instrucciones del sistema operativo de la tarjeta, normalmente guardado en la memoria ROM de la misma.
En cualquier sistema que utilice una tarjeta inteligente capaz de recibir datos mediante descarga, siempre está presente el problema del fraude. Por ejemplo, se puede cargar en la tarjeta un código fraudulento que provoque la descarga de la memoria de sistema y/o de la memoria para aplicaciones de la tarjeta. Al poder ver los datos descargados, el defraudador puede conocer, por ejemplo, las claves secretas que contiene la tarjeta o otros datos que normalmente no serían públicos. Asimismo, algunas instrucciones de tipo vírico son capaces de paralizar las funciones propias de las tarjetas.
En la patente EP 0325506, se describe un sistema convencional para proteger una tarjeta contra este tipo de fraudes. En este sistema, la tarjeta inteligente está programada con una clave secreta. Esta clave está, además, cifrada con el número de fabricación de la tarjeta para generar un código específico de la tarjeta en cuestión. La tarjeta permitirá introducir datos únicamente si se le introduce este código. La clave se envía a las personas autorizadas para programar la tarjeta, las cuales pueden leer el número de fabricación y generar el código necesario para programarla.
Este sistema, que está adaptado a las necesidades del entorno bancario, plantea ciertas desventajas, principalmente en lo que respecta a la forma de gestionar las transmisiones de la clave secreta entre el fabricante y la persona autorizada para programar la tarjeta. El sistema funciona solamente si ambos conocen el valor de la clave secreta. Es esencial que esta información sea confidencial, lo cual implica un nivel de seguridad bastante alto en ambos lugares. También se necesita una vía de transmisión segura para poder transmitir la clave entre el fabricante y el programador. Tal y como se describe en la patente, esta vía tiene que ser forzosamente diferente de la vía de transmisión de la propia tarjeta.
Estos problemas, que son menos preocupantes en el contexto de un sistema bancario donde a menudo hay solamente un fabricante y una entidad bancaria que reciben la clave secreta, adquieren gravedad en otras aplicaciones como, por ejemplo, en el campo de las tarjetas del sistema sanitario o la seguridad social, donde puede haber varios fabricantes de tarjetas al mismo tiempo.
La solicitud internacional publicada con el número WO 9320538 A describe un método de comunicación criptográfica. Según este método, la tarjeta contiene una clave aleatoria. Esta clave está cifrada mediante una clave pública. La clave aleatoria, una vez cifrada, se envía a una estación anfitriona, la cual descifra la clave aleatoria utilizando una clave secreta. La estación anfitriona cifra los datos que hay que cargar en la tarjeta haciendo uso de la clave aleatoria original de la tarjeta. La estación anfitriona envía los datos cifrados a la tarjeta. La tarjeta descifra los datos procedentes de la estación anfitriona utilizando la clave aleatoria de que dispone y que ha sido facilitada a la estación anfitriona.
El documento EP 707 290 expone, a título ilustrativo, un sistema en el cual un módulo de transferencias calcula una firma que asocia unívocamente el contenido de un mensaje con la identidad de un emisor del dicho mensaje.
Una de las funciones de la invención es proporcionar un método para cargar datos en una tarjeta evitando los problemas asociados con los métodos convencionales.
El método de la presente invención se caracteriza por que los datos que se quieren cargar en la tarjeta están cifrados con una clave secreta perteneciente a la persona autorizada para programar la tarjeta, y la tarjeta inteligente dispone igualmente de una clave pública adecuada para descifrar los datos en su forma cifrada y en el que la clave secreta y la clave pública pertenecen a un algoritmo de cifrado asimétrico.
En un algoritmo de cifrado asimétrico, como por ejemplo el RSA, solamente la identidad de la clave secreta necesita mantenerse confidencial. La clave pública puede divulgarse sin riesgos importantes, ya que es imposible determinar el valor de la clave secreta con esta información. Sin la clave secreta, un defraudador no sería capaz de generar un código correctamente cifrado.
En consecuencia, la información relativa a la clave pública necesaria para elaborar una tarjeta puede confiarse a varios fabricantes. En cambio, sólo la persona que posee la clave secreta será capaz de generar los datos correctamente cifrados para cargarlos en la tarjeta.
Preferiblemente, la persona autorizada determina el formato de los datos antes de la etapa de cifrado, y la tarjeta inteligente es capaz de rechazar los datos después de la etapa de cifrado si no cumplen el formato preestablecido.
Por ejemplo, los datos pueden formatearse siguiendo una norma estándar, como la norma ISO 9796, y puede programarse la tarjeta para rechazar todos los datos que, después de la etapa de cifrado, no cumplan este formato.
En una forma de realización, y para aumentar la seguridad del sistema, la tarjeta incluye igualmente una cerradura lógica que permanece abierta durante la carga de los datos y que se cierra inmediatamente después para impedir la subsiguiente lectura de los datos guardados en la tarjeta. Según las formas conocidas, la cerradura lógica puede consistir en un fusible metálico o una matriz de decisión adecuada para permitir la lectura solamente cuando se reciben las instrucciones correctas.
El método de la invención es especialmente aplicable a la descarga de datos, por ejemplo, a través de una red de comunicaciones. Incluso en el caso de que se interceptaran datos de forma no autorizada, la identidad de la clave secreta seguiría siendo indescifrable.
Para entender mejor la invención, ofrecemos la siguiente descripción, a título de ejemplo y a efectos puramente ilustrativos, que versa sobre una forma de realización basada en la ilustración adjunta y en la cual:
La figura 1 muestra un método de carga de datos por parte de una entidad o persona autorizada en una tarjeta inteligente según la presente invención.
En referencia a la figura 1, la parte izquierda de esta figura muestra las etapas llevadas a cabo por la entidad o persona para generar una "firma" que representa los datos en forma cifrada. Estas etapas pueden realizarse automáticamente por medio de un programa en un ordenador capaz de recibir los datos y generar la firma.
Primero, los datos 1 se tratan 2 según una norma estándar, por ejemplo la ISO 9796, para darles un formato aceptable por la tarjeta. A continuación, se cifran 3 los datos con una clave secreta K_{SEC} de un algoritmo asimétrico para generar una firma 4. El algoritmo de cifrado ilustrado en este caso es el algoritmo RSA, aunque el experto tiene a su disposición otros algoritmos asimétricos.
Seguidamente, la firma 4 se carga en la tarjeta inteligente. Dadas la naturaleza segura de la firma y la imposibilidad de descubrir la clave secreta, la firma puede enviarse a través de una red de comunicaciones (teléfono, radiofrecuencia, etc.) para descargarla en la tarjeta.
Entonces, la firma recibida por la tarjeta se procesa 5 con una clave pública K_{PUB} del algoritmo RSA guardado en la memoria ROM 6 de la tarjeta. Los datos descifrados por la clave pública se verifican 7 para comprobar que cumplen la norma ISO 9796. Si los datos se ajustan a este formato, se guardan en la memoria EEPROM 8 de la tarjeta.
Será rechazado cualquier intento de introducir datos sin conocer la clave secreta K_{SEC} y el formato de los datos a introducir. Sin esta información, un defraudador no será capaz de generar los datos cifrados en una forma reconocible por la tarjeta.
La tarjeta puede igualmente incluir una cerradura lógica preparada para abrirse durante la carga de los datos y cerrarse después de esta etapa para mantener en secreto los datos cargados en la tarjeta. Esta cerradura, que no aparece representada en la figura, puede ser un fusible, cuando sólo se permite cargar los datos una vez, o puede consistir en una matriz de decisión siguiendo alguna forma ya conocida.
El uso de dicha cerradura impide la lectura de los datos cargados en la tarjeta, como pueden ser, por ejemplo, la información necesaria para reprogramarla.
Como puede verse, la presente invención permite también cargar datos en una tarjeta inteligente segura sin las ventajas de los sistemas conocidos. En concreto, la información relativa a la identidad de la clave secreta estará únicamente en manos de la entidad responsable de programar las tarjetas. Pueden distribuirse claves públicas a diversos fabricantes sin riesgo de poner en peligro la seguridad global del sistema.
Este aspecto de la invención hace que el sistema sea especialmente útil en el terreno de la sanidad, en el cual las tarjetas contienen información confidencial sobre el paciente. Estos datos pueden ser de tipo médico o administrativo. En tal caso, la responsabilidad de programar las tarjetas recaerá en la mayoría de los casos de una sola organización, mientras que la fabricación de las tarjetas puede encargarse a varias empresas.
Por estos mismos motivos, el hecho de que la firma que contiene los datos cifrados para programar la tarjeta pueda divulgarse por una red sin ningún riesgo hace que la invención sea especialmente ventajosa, puesto que la programación de las tarjetas se efectuará a menudo mediante una descarga con el fin de evitar la necesidad de dar a los fabricantes la información que se quiere cargar en la tarjeta.

Claims (6)

1. Método para cargar datos en una tarjeta inteligente caracterizado por las siguientes etapas:
-
una etapa de cifrado en la cual los datos que se quieren cargar en la tarjeta se cifran con una clave secreta perteneciente a la persona autorizada para programar la tarjeta;
-
una etapa en la que la tarjeta recibe los datos cifrados obtenidos en la etapa de cifrado;
-
una etapa de descifrado en la cual los datos cifrados se descifran en la tarjeta por medio de una clave pública presente en la tarjeta con el fin de obtener los datos que se quieren cargar en la misma. La clave secreta y la clave pública pertenecen a un algoritmo de cifrado asimétrico;
-
una etapa en la que los datos descifrados mediante la clave pública se verifican para comprobar si cumplen una norma;
-
una etapa de almacenamiento en la que los datos que se quieren cargar en la tarjeta obtenidos durante la etapa de descifrado se guardan en una memoria de la tarjeta.
2. Método de carga de datos en una tarjeta inteligente según la reivindicación 1 y en el cual el algoritmo de cifrado es el algoritmo RSA.
3. Método de carga de datos en una tarjeta inteligente según la reivindicación 1 o 2 y en el cual el formato de los datos es determinado antes de la etapa de cifrado por la persona autorizada. La tarjeta inteligente es capaz de rechazar los datos después de la etapa de descifrado si éstos no cumplen el formato predeterminado.
4. Método de carga de datos en una tarjeta inteligente según la reivindicación 3 y en el cual los datos son formateados según la norma ISO 9796.
5. Método de carga de datos en una tarjeta inteligente según cualquiera de las reivindicaciones 1 a 4 y en el cual la tarjeta dispone también de una cerradura lógica que permanece abierta durante la carga de los datos y que se cierra inmediatamente después para impedir la subsiguiente lectura de los datos guardados en la tarjeta.
6. Método de carga de datos en una tarjeta inteligente según cualquiera de las reivindicaciones 1 a 5 y en el cual los datos se descargan en la tarjeta a través de una red de comunicaciones.
ES98202087T 1997-07-04 1998-06-23 Metodo para cargar datos en una tarjeta con microprocesador. Expired - Lifetime ES2296321T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR9708635A FR2765709B1 (fr) 1997-07-04 1997-07-04 Methode de chargement de donnees dans une carte a microprocesseur
FR9708635 1997-07-04

Publications (1)

Publication Number Publication Date
ES2296321T3 true ES2296321T3 (es) 2008-04-16

Family

ID=9508988

Family Applications (1)

Application Number Title Priority Date Filing Date
ES98202087T Expired - Lifetime ES2296321T3 (es) 1997-07-04 1998-06-23 Metodo para cargar datos en una tarjeta con microprocesador.

Country Status (5)

Country Link
EP (1) EP0889450B1 (es)
CA (1) CA2242804A1 (es)
DE (1) DE69838311T2 (es)
ES (1) ES2296321T3 (es)
FR (1) FR2765709B1 (es)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2820231B1 (fr) * 2001-01-26 2005-01-21 Gemplus Card Int Carte a circuit(s) integre(s) ou carte a puce(s) integrant une couche de securisation et dispositif de communication cooperant avec une telle carte
FR2825495B1 (fr) 2001-05-31 2003-09-26 Schlumberger Systems & Service Terminal electronique de paiement, carte a puce adaptee a un tel terminal et procede de chargement d'une cle secrete dans un tel terminal

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2536928B1 (fr) * 1982-11-30 1989-10-06 France Etat Systeme pour chiffrer et dechiffrer des informations, du type utilisant un systeme de dechiffrement a cle publique
FR2626095B1 (fr) 1988-01-20 1991-08-30 Sgs Thomson Microelectronics Systeme de securite pour proteger des zones de programmation d'une carte a puce
DE69331006D1 (de) * 1992-03-30 2001-11-29 Telstra Corp Ltd Geheimübertragungsverfahren und -system
FR2725537B1 (fr) * 1994-10-11 1996-11-22 Bull Cp8 Procede de chargement d'une zone memoire protegee d'un dispositif de traitement de l'information et dispositif associe

Also Published As

Publication number Publication date
FR2765709B1 (fr) 2001-10-12
CA2242804A1 (fr) 1999-01-04
DE69838311D1 (de) 2007-10-11
EP0889450A1 (fr) 1999-01-07
FR2765709A1 (fr) 1999-01-08
DE69838311T2 (de) 2008-05-21
EP0889450B1 (fr) 2007-08-29

Similar Documents

Publication Publication Date Title
JP4906168B2 (ja) Icカードのための鍵配送ユニット
ES2632795T3 (es) Sistema de pago
ES2202344T3 (es) Procedimiento de carga de una zona de memoria protegida de un dispositivo de tratamiento de la informacion y dispositivo asociado.
US6230267B1 (en) IC card transportation key set
ES2311991T3 (es) Componente para modulo de seguridad.
US20080005567A1 (en) Method and system for personalizing smart cards using asymmetric key cryptography
ES2881873T3 (es) Procedimiento de protección de una ficha de pago
JP2003536304A (ja) 電子チップに搭載されたシステム、特にチップカードの予備初期化段階の安全化方法と、その方法を実施する搭載システム
JP2009521136A (ja) ワイヤレスターミナルの安全素子を初期化する方法及び装置
WO2000020972A9 (en) Programmable telecommunications security module for key encryption adaptable for tokenless use
JP2003536154A (ja) 電子チップ搭載システム、特にチップカードのメモリ内での敏感データの安全化保存方法と、その方法を実施する搭載システム
CN102725737A (zh) 可验证防泄漏的加密和解密
HU224268B1 (hu) Eljárás elektronikus tranzakciók végrehajtására, továbbá chipkártya, valamint chipkártyát és felhasználó által vezérelt kommunikációs egységet tartalmazó rendszer
ES2259025T3 (es) Dispositivo de llave y cerradura.
CN106912046B (zh) 单向密钥卡和交通工具配对
JP2009151528A (ja) 生体情報が格納されたicカードおよびそのアクセス制御方法
EP0893751A1 (en) Integrated circuit and method for secure data processing by means of this integrated circuit
ES2309770T3 (es) Metodo de actualizacion protegida de software instalado en un modulo de seguridad.
ES2708805T3 (es) Terminal de pago de uso compartido
ES2296321T3 (es) Metodo para cargar datos en una tarjeta con microprocesador.
EP0334503A2 (en) Data-processing apparatus and method
ES2627735T3 (es) Método para acceso seguro a un contenido audio/vídeo en una unidad de descodificación
CN1199387C (zh) 在安全单元之间安全下载数据的方法
US6882730B1 (en) Method for secure distribution and configuration of asymmetric keying material into semiconductor devices
ES2240766T3 (es) Procedimiento criptografico para la proteccion de un chip electronico contra el fraude.