Deze zomer zal de ‘smartcard’ op grote schaal zijn intrede doen in Nederland. De introductie van die kaart roept veel vragen op, vooral over de beveiliging en over het voorkomen van vervalsingen en misbruik. Ander kwesties zijn het internationaal gebruik en de diverse rollen die de smartcard straks zal kunnen spelen. Een interview met P. Maclaine Pont van IBM en J. Zandee van Interpay.
Het idee van de smartcard stamt al uit de jaren zestig. In 1978 zetten Bull en Philips de eerste stappen om een besturingssysteem voor de smartcard te ontwikkelen, ter vervanging van de magneetstripkaart in Frankrijk. Drs P.G. Maclaine Pont, beveiligingsexpert bij IBM: "De chip heeft overigens vele jaren in de kaart gezeten zonder dat hij gebruikt werd; de infrastructuur bestond nog niet. De fraude met de magneetstripkaart viel nogal mee door de online controle, maar men bleef zoeken naar een betere beveiliging." Er bestaan twee soorten chipkaarten: een passieve geheugenkaart en een kaart met een microprocessor en een actief geheugen (de smartcard).
Maclaine Pont: "Je moet je van die microprocessor overigens niet al te veel voorstellen. Ze zijn destijds ontworpen voor gebruik als ingebedde processor in huishoudelijke apparaten. De chips worden gepersonaliseerd door een masker. Dat bevat het besturingssysteem en de beveiliging die iedere leverancier of gebruikersgroep zelf heeft ontwikkeld. Er zijn slechts vier grote chipleveranciers. Het grote voordeel van een microprocessor is dat daarmee Des-authenticatie te realiseren valt (Data Encryption Standard; authenticatie is het bewijzen van echtheid). Daarvoor is (relatief) snel ram-geheugen nodig om de tussenresultaten op te slaan. De nu courante chips beschikken over circa 10 KB rom, 8 KB eeprom (electrically erasable programmable read-only memory) en 256 byte ram geheugen."
Waarom werkt men met (Des) geheime sleutels en niet met publieke, zoals bij RSA (Rivest, Shamir, Adleman)? Publieke sleutels vereenvoudigen immers het sleutelbeheer. Maclaine Pont: "Tot nu toe wordt algemeen Des gebruikt; de reden daarvoor is dat dit minder verwerking vereist. De huidige generatie chips stamt uit 1985 en die zijn ongeschikt voor RSA. Nu binnenkort een grote vraag naar chips voor smartcards zal ontstaan, zullen de chipsleveranciers binnenkort wel nieuwe produktielijnen gaan opzetten voor snellere chips met grotere geheugens." Maar, zo voegt hij toe, je ontkomt niet aan de afweging hoe je die extra capaciteit het beste kan benutten: RSA of additionele toepassingen en functies. De capaciteit zal beperkt blijven en er moeten dus keuzes worden gemaakt. De verschillen in het beheer van geheime en publieke sleutels zijn niet zo groot als men wel doet voorkomen.
Compatibiliteit
Des is een tamelijk oude norm, met een sleutel van slechts 56 bits. De meeste mensen menen dat die inmiddels achterhaald is. Maclaine Pont: "Dat was destijds al voorzien, maar de Amerikaanse overheid verbood een langere sleutel. Vandaar dat we tegenwoordig meestal werken met triple-Des. Dat werkt met twee sleutels van 56 bits in drie slagen: coderen met sleutel 1, decoderen met sleutel 2, en coderen met sleutel 1. Dat levert de sterkte op van een 75 bits-sleutel, een stuk beter dan de oorspronkelijke 56 bits. RSA werkt meestal met een sleutel van 512 bits. Overigens mag men Des alleen gebruiken voor authenticatie, niet voor het versluieren van overgezonden gegevens. Alleen banken en andere financiële instellingen krijgen toestemming van de Amerikaanse overheid om Des te gebruiken voor de encryptie van de overdracht. Voor ‘zware’ transacties bij financiële instellingen leveren we sinds 1988 de Personal Security Card, maar dat is zeker geen massaprodukt als de smartcard."
Er zijn nogal wat verschillende systemen in gebruik die ingebakken worden in de chips. Levert dat geen problemen op met de compatibiliteit? Maclaine Pont: "Wat intern in de chip gebeurt, is de zaak van de leverancier. Alle normen richten zich op het externe gedrag. Naast een grote groep Iso-normen (International Standardization Organization) die iedereen volgt, gebruiken wij de Etsi TE9 norm, die het communicatieprotocol en een minimum aantal instructies in de chip specificeert. Nieuwe instructies kunnen na produktie worden toegevoegd via het eeprom-geheugen. We hebben bijvoorbeeld zeven extra instructies om een speciale crypto-architectuur te realiseren, waardoor toepassingen van verscheidene bedrijven later toe te voegen zijn (als daarmee bij de opzet rekening gehouden is), zonder dat die ondernemingen elkaars sleutels hoeven te kennen. Zo kunnen studenten zelf functies toevoegen aan hun studenten-chipkaart, voor een ‘gesloten beurs’, bijvoorbeeld voor kopiëren of de kantine op de campus. GSM-telefoons gebruiken wel dezelfde chiptechnologie, maar een verschillend besturingssysteem en andere encryptie-algoritmen. Deze situatie is gelijk aan die bij PC’s, waarbij de compatibiliteit wordt gewaarborgd door de specifieke bios en de binaire interface-normen."
Beveiligingsstructuur
De beveiliging van de fabricage en distributie van smartcards lijkt geen sinecure. Maclaine Pont: "Het ontwerp van de kaart is inderdaad maar een klein stukje van het geheel dat moet worden beveiligd. Ook hiervoor gebruiken verschillende leveranciers diverse methoden. Onze chip kan in ongeveer tien modes werken, die als in een state machine na elkaar worden gebruikt om de chip in opeenvolgende stadia gebruiksklaar te maken. Het punt is namelijk dat na het laden van een sleutel een deel van het geheugen beveiligd wordt en de informatie in de laatste stadia niet zomaar te veranderen is. Vandaar dat het laden van de informatie het best in achtereenvolgende stappen gedaan kan worden: na de module-produktie wordt daarvoor een eerste sleutel gebruikt, na de kaartproduktie een tweede groep en ten slotte een derde groep na personalisatie. Dit is mede belangrijk omdat er verschillende bedrijven aan te pas komen, die elk met hun eigen sleutels werken. Net als bij Des is de gehele procedure open en bekend, zodat de beveiliging volledig berust op de gebruikte sleutels."
In principe is alles wat elektronisch is, eenvoudig te kopiëren. Hoe wordt uitlezen van de informatie op de chip vermeden? Maclaine Pont: "Door middel van een beveiligingsstructuur in het besturingssysteem komen bepaalde bestanden of gebieden alleen beschikbaar na authenticatie. Ons systeem kent een gelaagde structuur met verschillende niveaus van authenticatie. Dat is nuttig voor de combinatie van verschillende toepassingen met elk een eigen sleutel. Deze toepassingen zijn van verschillende organisaties en elke beheerder moet toegang kunnen krijgen tot zijn eigen onderdeel – dat kunnen ‘personaliseren’ om de kaart voor de gebruiker gereed te maken. We leveren hiervoor een chipkaart personalisatie-station, waarmee ook een foto en andere bedrukking op de kaart valt aan te brengen. Dit systeem is beveiligd door een online koppeling met een kaartmanagementsysteem, maar er zijn tal van andere mogelijkheden beschikbaar.
Hoe gaat dit bij een ‘maskerade-aanval’, waarbij een smartcardlezer wordt tussengeschakeld om de uitgewisselde informatie te bemachtigen voor later gebruik? Maclaine Pont: "Dat is een probleem van de magneetstripkaart, maar niet van de smartcard, omdat een randomizer wordt gebruikt om voor elke sessie opnieuw een sleutel vast te stellen. Dit is een ander voordeel van het gebruik van een microprocessor. De smartcard is daardoor ook goed bruikbaar voor authenticatie over onbetrouwbare verbindingen, bijvoorbeeld Internet. We hebben onlangs in Twente het Isi-project (IBM Smardcard Identification) gestart, waarmee studenten de beschikking hebben over een leesstation om toegang te krijgen tot een beveiligde Web-server om hun eigen examenresultaten te bekijken. Die hingen vroeger op het bord, dus dat is niet kritisch en daardoor geschikt als pilot. We hebben hen ook ontwikkelgereedschap gegeven om zelf toepassingen te maken of te proberen het systeem te kraken."
Identificatiesystemen
Er zijn in de loop der jaren nogal wat biometrische identificatiesystemen bedacht, gebaseerd op de lengte van iemands vingers, vingerafdrukken en dergelijke. Siemens schijnt te denken dat gezichtsidentificatie uiteindelijk de pin-code zal vervangen. Brengt de smartcard de universele oplossing? Maclaine Pont: "En dan is er ook nog handtekeningenverificatie. Ik geloof niet zo in universele technische oplossingen. Het moeilijkste met elk beveiligingssysteem is om de verschillende betrokkenen op één lijn te krijgen wat betreft functies, beveiliging, infrastructuur enzovoort. Afgezien van de vraag of het wenselijk zou zijn, lukt dat vrijwel nooit. Voor een universele oplossing moet ook een universele infrastructuur worden opgezet, en dat is geen kleinigheid. Ten slotte moeten de gebruikers de geboden oplossingen accepteren."
Een geldautomaat kan de huidige pin-pas innemen, en de pas kan ongeldig worden gemaakt indien blijkt dat men ermee wil frauderen. De nieuwe chipknip (banken) of chipper (PTT en Primeurkaart) hebben geen verbinding van Beanet meer nodig bij het betalen. Intrekken of ongeldig maken kan dus alleen tijdens het opwaarderen, waarbij de houder een pin-code moet gebruiken. Is dat niet gevaarlijk? Maclaine Pont: "We denken van niet, vooral omdat het over niet zulke grote bedragen gaat – tot dubbeltjes aan toe. Voor grotere bedragen, zoals gebruikelijk bij creditcards of betaalkaarten, kan men meer spenderen aan de infrastructuur en zo de beveiliging verhogen. Overigens vermijd ik het gebruik van de afkorting pin, die gezien wordt als een nummer van de bank. Wij spreken van een cijferslot, dat iedere gebruiker zelf kan aanbrengen en veranderen."
Hoe kan iemand bewijzen dat hij een betaalde aankoop niet heeft gedaan als daarvan geen informatie wordt bijgehouden, zoals nu via Beanet? Wat gebeurt er als iemand zijn kaart verliest? Maclaine Pont: "Dat zijn moeilijke punten. Voorgesteld is om alle transacties boven een bepaald bedrag wel lokaal vast te leggen en die bijvoorbeeld ’s nachts naar een centraal punt over te brengen. Als het echt nodig is, valt vrijwel alles te reconstrueren, terwijl de kosten toch binnen de perken blijven. Ook voor de smartcard geldt dat alleen de zon voor niets opgaat. Alles wat je extra doet, kost geld. Voor een kopie van negen cent kun je geen toestanden uithalen, voor een bedrag van vijfentwintig gulden wel en voor honderd gulden nog meer. Overigens, als je nu geld verliest, ben je het ook kwijt, zonder veel hoop op teruggave."
In Europa en daarbuiten
Wie is verantwoordelijk tegenover de gebruiker over de juiste afhandeling van transacties met de smartcard? Maclaine Pont: "Dat is wel goed geregeld: de kaartuitgever of toepassingenaanbieder. Bij fraude op grote schaal kan die uiteraard trachten één van zijn leveranciers verantwoordelijk te stellen, afhankelijk van het geconstateerde probleem. Je kunt helaas als gebruiker niet vaststellen of een kaart goed beveiligd is. Een onafhankelijk keurmerk is wenselijk. Er zijn overigens nogal wat partijen in het geding bij kaartbeheer: de kaartuitgever, de kaarthouder (gebruiker), de toepassingsaanbieder, de kaartacceptant (winkel die de kaart accepteert), de acquirer (beheerder van het acceptantennetwerk die transacties ophaalt), en de processor (uitvoerder van het meeste kaartbeheer en de verwerkingsprocessen). Soms vervult één organisatie meerdere rollen."
Hoe ligt de acceptatie van smartcards in Europa en daarbuiten? Maclaine Pont: "Duitsland ligt op het ogenblik iets voor – de banken zijn bezig 32 miljoen smartcards uit te leveren. Dit is een niet open, maar wel leveranciersonafhankelijk systeem. Frankrijk loopt nu wat achter wat betreft de elektronische beurs, door de wet van de remmende voorsprong. Alle Europese landen tonen veel belangstelling en in sommige landen zijn al veel smartcards in omloop. Engeland werkt aan het Mondex-systeem van Natwest. In de Verenigde Staten is de belangstelling (nog) niet groot. Binnen één land is het al moeilijk genoeg om tot een gezamenlijk systeem te komen, laat staan op wereldschaal – of dat nu een goede zaak zou zijn of niet."
Hoe zit het met de mogelijkheden voor het gebruik van smartcards in het buitenland? De huidige pin-kaart is inmiddels in de meeste landen te gebruiken. Mevrouw drs J.M. Zandee, manager ‘corporate communications’ bij Interpay: "Vooralsnog blijft de chipknip een nationale zaak. Het gaat hierbij om een kaart die beschikbaar wordt gesteld om bedragen tot enkele tientjes te betalen – de vervanging van contanten door elektronisch geld. Het is wel de bedoeling dat deze zomer de chipknip-functie zal worden geïntegreerd in de pin-kaart."
Landelijke introductie
Dat de smartcard een goed alternatief zou kunnen vormen voor het slaan van de enorme hoeveelheid Euromunten, beaamt Zandee met enig voorbehoud. Er zijn twee aspecten aan geld: de waarde en de garantie van echtheid. Vooral dat laatste ligt niet zo eenvoudig bij elektronisch geld; dat wordt met behulp van cryptografie aangetoond. Binnen één land is het al moeilijk genoeg om daarover afspraken te maken. Daarom moeten in ieder geval de afspraken rond de Euro-munten geregeld zijn voordat men die kan doortrekken naar elektronisch geld. Bovendien blijft muntgeld nodig, want de elektronische beurs zal niet meer dan ongeveer 20 procent van het muntgeld vervangen.
Werkt de chipknip met dezelfde normen als de chipper van de Postbank? Zandee: "Beide zijn gebaseerd op de Iso-norm 7816, die iedereen hanteert. Dat wil nog niet zeggen dat iedereen die op exact dezelfde manier gebruikt. De norm is zeer algemeen en er zijn verschillende vertalingen van mogelijk, die echter het gebruik van eenzelfde terminal niet in de weg staan. De smartcard kan intern heel anders werken, terwijl hij zich toch extern op een genormeerde manier gedraagt. Voor de chipknip werken de banken met de zogenaamde EMV-norm (Eurocard, Mastercard, Visa); de functie is betalen. De chipper heeft een andere afkomst, maar daar zal de consument weinig van merken; de gebruiksmogelijkheden zullen in de praktijk niet erg verschillen."
De eerste fase van de landelijke introductie van de chipknip is nu gaande in Arnhem. Hoe zijn de reacties van de consumenten? Zandee: "In tegenstelling tot eerdere proefprojecten, bijvoorbeeld in Woerden, lijkt het idee nu wel goed aan te slaan bij het publiek. Bij een recent onderzoek kregen we het rapportcijfer 7,2. Het bedrag waarmee de chipknip wordt opgeladen, ligt meestal tussen de zeventig en de honderd gulden (minimaal vijfentwintig en maximaal vijfhonderd). Deze zomer volgt op grote schaal de landelijke introductie. Iedereen die een bankrekening heeft, kan er een krijgen."
De functie van contant geld
De beveiliging van de chipknip is volgens Zandee "in grote lijnen op dezelfde manier als beschreven voor de PTT" geregeld. "Zij het dat de betaalfunctie is gebaseerd op de Centc 224 WG10 norm voor open betaalsystemen. We geven hierover echter geen gedetailleerde informatie, om een stukje extra beveiliging te verkrijgen. Het gaat bij beveiliging niet alleen om de chipknip zelf, maar vooral ook om het complete systeem en alle schakels daarin die op elkaar moeten aansluiten. De banken zijn de kaartuitgevers. Interpay, dat in 1994 ontstond door de fusie van de Bankgirocentrale, Beanet en Eurocard Nederland, verzorgt de elektronische verrekening en de communicatie. Maar de banken voeren bijvoorbeeld de autorisatie voor het opladen van een chipknip uit; alleen de communicatie verloopt via Beanet. Zo is een complex systeem ontworpen om al deze bewerkingen goed beveiligd uit te voeren, waarbij in de diverse delen van de totale communicatie niet alleen Des maar ook RSA gebruikt wordt."
De chipknip wordt gebruikt zonder pin, in tegenstelling tot de pin-kaart. Zijn die twee toch in één leesapparaat te gebruiken? Zandee: "Als dat daarvoor geschikt is gemaakt wel. Indien gewenst zijn ook de andere betaalkaarten daarin te gebruiken, afhankelijk van de beveiligingsmodules die in het apparaat aangebracht zijn en die de opslag en verdere communicatie verzorgen. Bij de chipknip wordt de informatie veilig opgeslagen bij de detaillist, tot die beslist dat hij het elektronische geld wil storten bij de bank. Vaak zal dat ’s nachts gebeuren, maar dat kan ook op elk gewenst moment overdag."
De winkelier kan de chipknip-transactie desgewenst op de kassabon vermelden, maar verder worden alleen de laatste vijf transacties bijgehouden op de kaart. Er zijn eenvoudige hoesjes en uitleesapparaatjes om deze informatie, ook het saldo, zichtbaar te maken. Voor de klant biedt de chipknip de functie van contant geld (verlies betekent verloren geld). Voor de banken zit er ook een girale kant aan (het elektronische geld wordt van een rekening afgeschreven en later op andere rekeningen bij andere banken bijgeschreven). Voor de controle moet dus wel worden bijgehouden van welke bank het geld afkomstig is.
Betalingen via Internet
Dat de banken voor kleine bedragen niet een kostbare online verbinding via Beanet willen gebruiken, is begrijpelijk, maar zijn er geen andere oplossingen die de gebruiker meer zekerheid bieden? Men kan bijvoorbeeld tegenwoordig pasfoto’s in slechts 60 byte opslaan en ter plaatse zichtbaar maken. Zandee: "Met de chipknip-functie bieden we een vervanging van contant geld, niets meer en niets minder. Er zijn ongetwijfeld veel nieuwe technieken in ontwikkeling. De banken zitten ook niet stil. Via Europay in Brussel worden normen ontwikkeld voor nieuwe kaarten; die zullen geschikt zijn als creditcard, als debitcard en als elektronische beurs. Beslissingen daarover kunnen niet alleen nationaal genomen worden, want we leven steeds minder op een nationaal eiland. Zeker op het gebied van betalingen wordt alles meer en meer internationaal."
De kwestie van elektronisch geld gaat ook op Internet spelen, waar men hoge verwachtingen heeft van elektronisch handelen. IBM heeft hiervoor een nieuw soort beveiliging ontworpen, onder de naam iKP (met RSA), en is bezig om met Europay een veilig systeem met behulp van smartcards te ontwikkelen (dit jaar volgt een proefproject). De banken willen eind deze zomer een proef beginnen met I-Pay voor veilige elektronische betalingen via Internet; daarvoor moet men wel een aparte I-rekening openen. Waarschijnlijk gebeurt beveiliging van de snel populair wordende transacties via Internet met een soort pin-code en zal de gehele transactie cryptografisch beveiligd zijn. Visa en Mastercard hebben inmiddels bekendgemaakt dat ze een soortgelijk protocol gaan gebruiken, Set genaamd (Secure Electronic Transactions), op basis van RSA. Interessant in dit verband is dat de democraten in het Amerikaanse congres een wetsvoorstel hebben ingediend om de exportbeperkingen op algemeen verkrijgbare programmatuur voor versleuteling te laten vervallen, maar of dit wordt aangenomen, is onduidelijk.
De lang voorspelde doorbraak van de smartcard zal binnenkort beginnen. De techniek wordt voortdurend verbeterd en de mogelijkheden voor toepassingen nemen toe. Binnenkort zullen niet alleen kassa’s, maar ook PC’s voorzien zijn van een smartcard-lezer. De smartcard zal te gebruiken zijn voor betalingen en voor persoonsidentificatie. De veiligheid daarvan zal de basis zijn voor veel nieuwe elektronische toepassingen.
Hein van Steenis, freelance medewerker Computable
LITERATUUR
H. van Steenis: Recht op crypto-beveiliging. Computable, 24 juni 1994, p.25,27.
H. van Steenis: Plastic kaart steeds slimmer. Computable, 13 oktober 1995, p.33,35.
NGI-Magazine, mei 1996 (gewijd aan de smartcard, met een overzicht van de mogelijkheden en lopende projecten).
