ES2296321T3 - Metodo para cargar datos en una tarjeta con microprocesador. - Google Patents
Metodo para cargar datos en una tarjeta con microprocesador. Download PDFInfo
- Publication number
- ES2296321T3 ES2296321T3 ES98202087T ES98202087T ES2296321T3 ES 2296321 T3 ES2296321 T3 ES 2296321T3 ES 98202087 T ES98202087 T ES 98202087T ES 98202087 T ES98202087 T ES 98202087T ES 2296321 T3 ES2296321 T3 ES 2296321T3
- Authority
- ES
- Spain
- Prior art keywords
- card
- data
- stage
- loading
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Classifications
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/10—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
- G07F7/1008—Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/34—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
- G06Q20/341—Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/34—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
- G06Q20/355—Personalisation of cards for use
- G06Q20/3552—Downloading or loading of personalisation data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/409—Device specific authentication in transaction processing
- G06Q20/4097—Device specific authentication in transaction processing using mutual authentication between devices and transaction partners
- G06Q20/40975—Device specific authentication in transaction processing using mutual authentication between devices and transaction partners using encryption therefor
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Physics & Mathematics (AREA)
- Accounting & Taxation (AREA)
- General Physics & Mathematics (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- Theoretical Computer Science (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Computer Networks & Wireless Communication (AREA)
- Finance (AREA)
- Computer Security & Cryptography (AREA)
- Storage Device Security (AREA)
Abstract
LA INVENCION SE REFIERE A UN METODO DE DESCARGA DE DATOS EN UNA TARJETA CON MICROPROCESADOR. SE CARACTERIZA POR QUE LOS DATOS (1) SE CODIFICAN (3) CON UNA CLAVE SECRETA K SEC PERTENECIENTE A LA PERSONA U ORGANISMO FACULTADOS PARA PROGRAMAR LA TARJETA. LA TARJETA CON MICROPROCESADOR VA PROVISTA ASIMISMO DE UNA CLAVE PUBLICA K PUB PARA DESCODIFICAR (5) LOS DATOS EN SU FORMA CODIFICADA (4). LA CLAVE SECRETA K SEC Y LA CLAVE PUBLICA K PUB PERTENECEN A UN ALGORITMO DE CODIFICADO ASIMETRICO, POR EJEMPLO, EL ALGORITMO RSA.
Description
Método para cargar datos en una tarjeta con
mocroprocesador.
La presente invención hace referencia a un
método para cargar datos seguros en una tarjeta inteligente.
En un sistema habitual, la carga o descarga de
los datos en una tarjeta se efectúa por medio de una aplicación
externa y con una instrucción específica al sistema operativo de la
tarjeta. Los datos cargados por la aplicación externa pueden
incluir, por ejemplo, instrucciones suplementarias que completen o
sustituyan la totalidad o una parte del conjunto de instrucciones
del sistema operativo de la tarjeta, normalmente guardado en la
memoria ROM de la misma.
En cualquier sistema que utilice una tarjeta
inteligente capaz de recibir datos mediante descarga, siempre está
presente el problema del fraude. Por ejemplo, se puede cargar en la
tarjeta un código fraudulento que provoque la descarga de la
memoria de sistema y/o de la memoria para aplicaciones de la
tarjeta. Al poder ver los datos descargados, el defraudador puede
conocer, por ejemplo, las claves secretas que contiene la tarjeta o
otros datos que normalmente no serían públicos. Asimismo, algunas
instrucciones de tipo vírico son capaces de paralizar las funciones
propias de las tarjetas.
En la patente EP 0325506, se describe un sistema
convencional para proteger una tarjeta contra este tipo de fraudes.
En este sistema, la tarjeta inteligente está programada con una
clave secreta. Esta clave está, además, cifrada con el número de
fabricación de la tarjeta para generar un código específico de la
tarjeta en cuestión. La tarjeta permitirá introducir datos
únicamente si se le introduce este código. La clave se envía a las
personas autorizadas para programar la tarjeta, las cuales pueden
leer el número de fabricación y generar el código necesario para
programarla.
Este sistema, que está adaptado a las
necesidades del entorno bancario, plantea ciertas desventajas,
principalmente en lo que respecta a la forma de gestionar las
transmisiones de la clave secreta entre el fabricante y la persona
autorizada para programar la tarjeta. El sistema funciona solamente
si ambos conocen el valor de la clave secreta. Es esencial que esta
información sea confidencial, lo cual implica un nivel de seguridad
bastante alto en ambos lugares. También se necesita una vía de
transmisión segura para poder transmitir la clave entre el
fabricante y el programador. Tal y como se describe en la patente,
esta vía tiene que ser forzosamente diferente de la vía de
transmisión de la propia tarjeta.
Estos problemas, que son menos preocupantes en
el contexto de un sistema bancario donde a menudo hay solamente un
fabricante y una entidad bancaria que reciben la clave secreta,
adquieren gravedad en otras aplicaciones como, por ejemplo, en el
campo de las tarjetas del sistema sanitario o la seguridad social,
donde puede haber varios fabricantes de tarjetas al mismo
tiempo.
La solicitud internacional publicada con el
número WO 9320538 A describe un método de comunicación
criptográfica. Según este método, la tarjeta contiene una clave
aleatoria. Esta clave está cifrada mediante una clave pública. La
clave aleatoria, una vez cifrada, se envía a una estación
anfitriona, la cual descifra la clave aleatoria utilizando una clave
secreta. La estación anfitriona cifra los datos que hay que cargar
en la tarjeta haciendo uso de la clave aleatoria original de la
tarjeta. La estación anfitriona envía los datos cifrados a la
tarjeta. La tarjeta descifra los datos procedentes de la estación
anfitriona utilizando la clave aleatoria de que dispone y que ha
sido facilitada a la estación anfitriona.
El documento EP 707 290 expone, a título
ilustrativo, un sistema en el cual un módulo de transferencias
calcula una firma que asocia unívocamente el contenido de un
mensaje con la identidad de un emisor del dicho mensaje.
Una de las funciones de la invención es
proporcionar un método para cargar datos en una tarjeta evitando los
problemas asociados con los métodos convencionales.
El método de la presente invención se
caracteriza por que los datos que se quieren cargar en la tarjeta
están cifrados con una clave secreta perteneciente a la persona
autorizada para programar la tarjeta, y la tarjeta inteligente
dispone igualmente de una clave pública adecuada para descifrar los
datos en su forma cifrada y en el que la clave secreta y la clave
pública pertenecen a un algoritmo de cifrado asimétrico.
En un algoritmo de cifrado asimétrico, como por
ejemplo el RSA, solamente la identidad de la clave secreta necesita
mantenerse confidencial. La clave pública puede divulgarse sin
riesgos importantes, ya que es imposible determinar el valor de la
clave secreta con esta información. Sin la clave secreta, un
defraudador no sería capaz de generar un código correctamente
cifrado.
En consecuencia, la información relativa a la
clave pública necesaria para elaborar una tarjeta puede confiarse a
varios fabricantes. En cambio, sólo la persona que posee la clave
secreta será capaz de generar los datos correctamente cifrados para
cargarlos en la tarjeta.
Preferiblemente, la persona autorizada determina
el formato de los datos antes de la etapa de cifrado, y la tarjeta
inteligente es capaz de rechazar los datos después de la etapa de
cifrado si no cumplen el formato preestablecido.
Por ejemplo, los datos pueden formatearse
siguiendo una norma estándar, como la norma ISO 9796, y puede
programarse la tarjeta para rechazar todos los datos que, después de
la etapa de cifrado, no cumplan este formato.
En una forma de realización, y para aumentar la
seguridad del sistema, la tarjeta incluye igualmente una cerradura
lógica que permanece abierta durante la carga de los datos y que se
cierra inmediatamente después para impedir la subsiguiente lectura
de los datos guardados en la tarjeta. Según las formas conocidas, la
cerradura lógica puede consistir en un fusible metálico o una
matriz de decisión adecuada para permitir la lectura solamente
cuando se reciben las instrucciones correctas.
El método de la invención es especialmente
aplicable a la descarga de datos, por ejemplo, a través de una red
de comunicaciones. Incluso en el caso de que se interceptaran datos
de forma no autorizada, la identidad de la clave secreta seguiría
siendo indescifrable.
Para entender mejor la invención, ofrecemos la
siguiente descripción, a título de ejemplo y a efectos puramente
ilustrativos, que versa sobre una forma de realización basada en la
ilustración adjunta y en la cual:
La figura 1 muestra un método de carga de datos
por parte de una entidad o persona autorizada en una tarjeta
inteligente según la presente invención.
En referencia a la figura 1, la parte izquierda
de esta figura muestra las etapas llevadas a cabo por la entidad o
persona para generar una "firma" que representa los datos en
forma cifrada. Estas etapas pueden realizarse automáticamente por
medio de un programa en un ordenador capaz de recibir los datos y
generar la firma.
Primero, los datos 1 se tratan 2 según una norma
estándar, por ejemplo la ISO 9796, para darles un formato aceptable
por la tarjeta. A continuación, se cifran 3 los datos con una clave
secreta K_{SEC} de un algoritmo asimétrico para generar una firma
4. El algoritmo de cifrado ilustrado en este caso es el algoritmo
RSA, aunque el experto tiene a su disposición otros algoritmos
asimétricos.
Seguidamente, la firma 4 se carga en la tarjeta
inteligente. Dadas la naturaleza segura de la firma y la
imposibilidad de descubrir la clave secreta, la firma puede
enviarse a través de una red de comunicaciones (teléfono,
radiofrecuencia, etc.) para descargarla en la tarjeta.
Entonces, la firma recibida por la tarjeta se
procesa 5 con una clave pública K_{PUB} del algoritmo RSA guardado
en la memoria ROM 6 de la tarjeta. Los datos descifrados por la
clave pública se verifican 7 para comprobar que cumplen la norma
ISO 9796. Si los datos se ajustan a este formato, se guardan en la
memoria EEPROM 8 de la tarjeta.
Será rechazado cualquier intento de introducir
datos sin conocer la clave secreta K_{SEC} y el formato de los
datos a introducir. Sin esta información, un defraudador no será
capaz de generar los datos cifrados en una forma reconocible por la
tarjeta.
La tarjeta puede igualmente incluir una
cerradura lógica preparada para abrirse durante la carga de los
datos y cerrarse después de esta etapa para mantener en secreto los
datos cargados en la tarjeta. Esta cerradura, que no aparece
representada en la figura, puede ser un fusible, cuando sólo se
permite cargar los datos una vez, o puede consistir en una matriz de
decisión siguiendo alguna forma ya conocida.
El uso de dicha cerradura impide la lectura de
los datos cargados en la tarjeta, como pueden ser, por ejemplo, la
información necesaria para reprogramarla.
Como puede verse, la presente invención permite
también cargar datos en una tarjeta inteligente segura sin las
ventajas de los sistemas conocidos. En concreto, la información
relativa a la identidad de la clave secreta estará únicamente en
manos de la entidad responsable de programar las tarjetas. Pueden
distribuirse claves públicas a diversos fabricantes sin riesgo de
poner en peligro la seguridad global del sistema.
Este aspecto de la invención hace que el sistema
sea especialmente útil en el terreno de la sanidad, en el cual las
tarjetas contienen información confidencial sobre el paciente. Estos
datos pueden ser de tipo médico o administrativo. En tal caso, la
responsabilidad de programar las tarjetas recaerá en la mayoría de
los casos de una sola organización, mientras que la fabricación de
las tarjetas puede encargarse a varias empresas.
Por estos mismos motivos, el hecho de que la
firma que contiene los datos cifrados para programar la tarjeta
pueda divulgarse por una red sin ningún riesgo hace que la invención
sea especialmente ventajosa, puesto que la programación de las
tarjetas se efectuará a menudo mediante una descarga con el fin de
evitar la necesidad de dar a los fabricantes la información que se
quiere cargar en la tarjeta.
Claims (6)
1. Método para cargar datos en una tarjeta
inteligente caracterizado por las siguientes etapas:
- -
- una etapa de cifrado en la cual los datos que se quieren cargar en la tarjeta se cifran con una clave secreta perteneciente a la persona autorizada para programar la tarjeta;
- -
- una etapa en la que la tarjeta recibe los datos cifrados obtenidos en la etapa de cifrado;
- -
- una etapa de descifrado en la cual los datos cifrados se descifran en la tarjeta por medio de una clave pública presente en la tarjeta con el fin de obtener los datos que se quieren cargar en la misma. La clave secreta y la clave pública pertenecen a un algoritmo de cifrado asimétrico;
- -
- una etapa en la que los datos descifrados mediante la clave pública se verifican para comprobar si cumplen una norma;
- -
- una etapa de almacenamiento en la que los datos que se quieren cargar en la tarjeta obtenidos durante la etapa de descifrado se guardan en una memoria de la tarjeta.
2. Método de carga de datos en una tarjeta
inteligente según la reivindicación 1 y en el cual el algoritmo de
cifrado es el algoritmo RSA.
3. Método de carga de datos en una tarjeta
inteligente según la reivindicación 1 o 2 y en el cual el formato de
los datos es determinado antes de la etapa de cifrado por la persona
autorizada. La tarjeta inteligente es capaz de rechazar los datos
después de la etapa de descifrado si éstos no cumplen el formato
predeterminado.
4. Método de carga de datos en una tarjeta
inteligente según la reivindicación 3 y en el cual los datos son
formateados según la norma ISO 9796.
5. Método de carga de datos en una tarjeta
inteligente según cualquiera de las reivindicaciones 1 a 4 y en el
cual la tarjeta dispone también de una cerradura lógica que
permanece abierta durante la carga de los datos y que se cierra
inmediatamente después para impedir la subsiguiente lectura de los
datos guardados en la tarjeta.
6. Método de carga de datos en una tarjeta
inteligente según cualquiera de las reivindicaciones 1 a 5 y en el
cual los datos se descargan en la tarjeta a través de una red de
comunicaciones.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FR9708635A FR2765709B1 (fr) | 1997-07-04 | 1997-07-04 | Methode de chargement de donnees dans une carte a microprocesseur |
FR9708635 | 1997-07-04 |
Publications (1)
Publication Number | Publication Date |
---|---|
ES2296321T3 true ES2296321T3 (es) | 2008-04-16 |
Family
ID=9508988
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
ES98202087T Expired - Lifetime ES2296321T3 (es) | 1997-07-04 | 1998-06-23 | Metodo para cargar datos en una tarjeta con microprocesador. |
Country Status (5)
Country | Link |
---|---|
EP (1) | EP0889450B1 (es) |
CA (1) | CA2242804A1 (es) |
DE (1) | DE69838311T2 (es) |
ES (1) | ES2296321T3 (es) |
FR (1) | FR2765709B1 (es) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR2820231B1 (fr) * | 2001-01-26 | 2005-01-21 | Gemplus Card Int | Carte a circuit(s) integre(s) ou carte a puce(s) integrant une couche de securisation et dispositif de communication cooperant avec une telle carte |
FR2825495B1 (fr) | 2001-05-31 | 2003-09-26 | Schlumberger Systems & Service | Terminal electronique de paiement, carte a puce adaptee a un tel terminal et procede de chargement d'une cle secrete dans un tel terminal |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR2536928B1 (fr) * | 1982-11-30 | 1989-10-06 | France Etat | Systeme pour chiffrer et dechiffrer des informations, du type utilisant un systeme de dechiffrement a cle publique |
FR2626095B1 (fr) | 1988-01-20 | 1991-08-30 | Sgs Thomson Microelectronics | Systeme de securite pour proteger des zones de programmation d'une carte a puce |
DE69331006D1 (de) * | 1992-03-30 | 2001-11-29 | Telstra Corp Ltd | Geheimübertragungsverfahren und -system |
FR2725537B1 (fr) * | 1994-10-11 | 1996-11-22 | Bull Cp8 | Procede de chargement d'une zone memoire protegee d'un dispositif de traitement de l'information et dispositif associe |
-
1997
- 1997-07-04 FR FR9708635A patent/FR2765709B1/fr not_active Expired - Fee Related
-
1998
- 1998-06-23 ES ES98202087T patent/ES2296321T3/es not_active Expired - Lifetime
- 1998-06-23 DE DE1998638311 patent/DE69838311T2/de not_active Expired - Lifetime
- 1998-06-23 EP EP19980202087 patent/EP0889450B1/fr not_active Expired - Lifetime
- 1998-07-02 CA CA 2242804 patent/CA2242804A1/fr not_active Abandoned
Also Published As
Publication number | Publication date |
---|---|
FR2765709B1 (fr) | 2001-10-12 |
CA2242804A1 (fr) | 1999-01-04 |
DE69838311D1 (de) | 2007-10-11 |
EP0889450A1 (fr) | 1999-01-07 |
FR2765709A1 (fr) | 1999-01-08 |
DE69838311T2 (de) | 2008-05-21 |
EP0889450B1 (fr) | 2007-08-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4906168B2 (ja) | Icカードのための鍵配送ユニット | |
ES2632795T3 (es) | Sistema de pago | |
ES2202344T3 (es) | Procedimiento de carga de una zona de memoria protegida de un dispositivo de tratamiento de la informacion y dispositivo asociado. | |
US6230267B1 (en) | IC card transportation key set | |
ES2311991T3 (es) | Componente para modulo de seguridad. | |
US20080005567A1 (en) | Method and system for personalizing smart cards using asymmetric key cryptography | |
ES2881873T3 (es) | Procedimiento de protección de una ficha de pago | |
JP2003536304A (ja) | 電子チップに搭載されたシステム、特にチップカードの予備初期化段階の安全化方法と、その方法を実施する搭載システム | |
JP2009521136A (ja) | ワイヤレスターミナルの安全素子を初期化する方法及び装置 | |
WO2000020972A9 (en) | Programmable telecommunications security module for key encryption adaptable for tokenless use | |
JP2003536154A (ja) | 電子チップ搭載システム、特にチップカードのメモリ内での敏感データの安全化保存方法と、その方法を実施する搭載システム | |
CN102725737A (zh) | 可验证防泄漏的加密和解密 | |
HU224268B1 (hu) | Eljárás elektronikus tranzakciók végrehajtására, továbbá chipkártya, valamint chipkártyát és felhasználó által vezérelt kommunikációs egységet tartalmazó rendszer | |
ES2259025T3 (es) | Dispositivo de llave y cerradura. | |
CN106912046B (zh) | 单向密钥卡和交通工具配对 | |
JP2009151528A (ja) | 生体情報が格納されたicカードおよびそのアクセス制御方法 | |
EP0893751A1 (en) | Integrated circuit and method for secure data processing by means of this integrated circuit | |
ES2309770T3 (es) | Metodo de actualizacion protegida de software instalado en un modulo de seguridad. | |
ES2708805T3 (es) | Terminal de pago de uso compartido | |
ES2296321T3 (es) | Metodo para cargar datos en una tarjeta con microprocesador. | |
EP0334503A2 (en) | Data-processing apparatus and method | |
ES2627735T3 (es) | Método para acceso seguro a un contenido audio/vídeo en una unidad de descodificación | |
CN1199387C (zh) | 在安全单元之间安全下载数据的方法 | |
US6882730B1 (en) | Method for secure distribution and configuration of asymmetric keying material into semiconductor devices | |
ES2240766T3 (es) | Procedimiento criptografico para la proteccion de un chip electronico contra el fraude. |