پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشتماه ۱۳۹۰ شروع کرده و اکنون پرمخاطبترین رسانه ایران در زمینه فناوریهای مالی، بانکداری و پرداخت و استارتآپهای فینتک است.
کارت هوشمند (Smart Card) بهعنوان روشی سودمند در بسیاری از پروژههای سازمانی و ملی در دنیا استفاده میشود. این فناوری در ترکیب با سایر فناوریها همچون اثرانگشت (Fingerprint)، گواهینامه الکترونیکی (Digital Certificate) و امضای دیجیتال (Digital Signature) میتواند ارائه خدمات الکترونیکی مختلف را امکانپذیر کند؛ اما درعینحال باید به کاربردهای کارت هوشمند آگاه بود تا با استفاده نابجا از این فناوری، هزینههای اضافی بدون فایده را به پروژهها تحمیل نکرد. در این نوشته سعی میشود تا حدودی مشکلات رایج عدم استفاده صحیح از کارت هوشمند در پروژهها بررسی شود.
در ابتدا شاید بهتر باشد مشخص شود که دقیقاً منظور از کارت هوشمند چیست. هماکنون بسیاری از مردم با کارتهای مختلف سروکار دارند؛ از کارت مترو گرفته تا کارت سوخت یا کارتهای بانکی؛ اما کارت هوشمند نوع خاصی از کارت بوده که دارای تراشه (Chip) است. این تراشه درواقع یک رایانه کامل است که شامل پردازنده (Processor)، حافظه موقت (RAM)، حافظه پایدار (EEPROM)، ورودی و خروجی (I/O) و سایر امکانات لازم بوده و میتواند کدهای برنامهنویسیشده را اجرا کند. کارت هوشمند میتواند از نوع تماسی (Contact) یا بدون تماس (Contactless) باشد. در بسیاری از موارد کارت هوشمند با سایر کارتها مانند کارتهای حاوی نوار مغناطیسی (Magnetic Stripe) (اکثر کارتهای بانکی)، کارتهای RFID (بسیاری از کارتهای دانشجویی یا سازمانی) یا کارتهای شناسایی عادی PVC اشتباه گرفته میشود. درحالیکه هیچ یک از کارتهای مذکور دارای تراشه هوشمند نبوده و قادر به اجرای برنامه نیستند.
کاربردهای کارت هوشمند بازه وسیعی دارد و چهبسا در مواردی بهدرستی استفاده نمیشود. برای بررسی این موضوع لازم است کاربردهای اصلی کارت هوشمند را بهتر بشناسیم. یکی از کاربردهای اصلی کارت هوشمند، احراز هویت (Authentication) است. در این نوع کاربرد، پروژه یا سیستم موردنظر نیاز به شناسایی کاربر بهصورت الکترونیکی دارد. برای نیل به این هدف، شناسهای از کاربر یا اطلاعات هویتی او روی کارت هوشمند قرار میگیرد و از آن برای احراز هویت کاربر استفاده میشود. سادهترین و پراستفادهترین کارت هوشمند از این نوع، سیمکارت تلفن همراه است. درعینحال میتوان برای شناسایی دقیقتر کاربر، کلیه اطلاعات هویتی وی را روی کارت قرار داد که پروژه کارت ملی هوشمند از این قسم است. حتی جهت احراز هویت دقیقتر ممکن است اثرانگشت کاربر نیز روی کارت قرار گیرد. درعینحال کارت هوشمند میتواند اطلاعات اختصاصی یک سامانه را نیز در خود نگهداری کند. بدین ترتیب دادههای خاص سامانه روی کارت هوشمند قرار میگیرد و از کارت بهعنوان رسانهای برای انتقال اطلاعات بهصورت برونخط (Offline) استفاده میشود. کارت هوشمند سوخت از این دست است و تراکنشهای سوخت روی تراشه آن ذخیره میشود. نوع دیگر استفاده از کارت هوشمند، استفاده در زمینه رمزنگاری (Cryptography) است. بهطور مثال گواهینامه الکترونیکی کاربر میتواند روی کارت هوشمند قرار گیرد و برای امضای دیجیتال تراکنش یا هر نوع داده دیگر مورداستفاده واقع شود. بدین ترتیب با شناخت کاربردهای کلان کارت هوشمند، میتوان به استفادههای نادرست یا نابجا از آن نیز پی برد. این اشتباهات در ادامه شرح داده شدهاند.
اولین اشتباه رایج، استفاده از کارت هوشمند برای ذخیره تمام یا بخشی از دادههای کاربران است، درحالیکه میتوان این اطلاعات را بهسادگی از طریق سامانههای برخط (Online) به دست آورد. در بسیاری از پروژهها تصور طراحان این است که باید اطلاعات کاربران روی کارتهای هوشمند ذخیره شود که این امر مشابه ایجاد پایگاه دادهای توزیعشده در کارتهای هوشمند است. این در حالی است که در چنین شرایطی بهروزرسانی دادههای کاربر روی کارت هوشمند پس از صدور، نشدنی یا بسیار دشوار خواهد بود. همچنین هرگز نمیتوان از کارت هوشمند بهعنوان مرجع نهایی دادههای کاربران استفاده کرد و پایگاه داده متمرکز بهترین مرجع برای این دادهها به شمار میرود. دادههای کاربران تنها بدین منظور روی کارت هوشمند قرار میگیرد که در صورت عدم دسترسی به سامانه برخط یا پایگاه داده متمرکز، از این دادهها بهصورت برونخط استفاده شود. از طرف دیگر کارت هوشمند دارای حافظه بسیار محدود در حدود ۷۲ تا ۱۲۸ یا حداکثر ۲۵۶ کیلوبایت است و قادر به ذخیره دادههای حجیم مانند تصاویر یا فایلهای بزرگ نیست. از این حافظه محدود، تنها برای نگهداری دادههای ضروری مانند اطلاعات کلیدی و کلیدهای رمزنگاری استفاده میشود.
دومین اشتباه رایج، استفاده از کارت هوشمند برای احراز هویت کاربران در سامانههایی است که نیازمند چنین سطح امنیتی نیستند. استفاده از کارت هوشمند نیازمندیهای سختافزاری و نرمافزاری و بهتبع آن هزینههای خاص خود را دارد و درصورتیکه به سطح اطمینان و امنیتی بالا نیاز نیست، میتوان از روشهای دیگر مانند رمز ایستا، رمز پویا (OTP) یا روشهای دیگر بهره برد. عموماً احراز هویت با کارت هوشمند در شرایطی سودمند خواهد بود که رمز عبور و روشهای مشابه، دچار مخاطره امنیتی باشند و دادهها یا خدمات سامانه، ارزش کافی برای حملات هکرها را داشته باشد.
سومین اشتباه رایج، بارگذاری برنامههای پیچیده و زمانبر روی کارت هوشمند است. اگرچه کارت هوشمند میتواند کدهای برنامه اختصاصی را اجرا کند اما منابع محدودی برای اجرای برنامهها دارد و تنها باید عملیات ضروری و حیاتی روی آن اجرا شود. بهطور مثال رمزنگاری یا امضای دیجیتال داده که نیازمند کلیدهای محرمانه (Private Key) یا خصوصی (Secret Key) است، باید روی کارت اجرا شود تا کلیدها به فضای حافظه رایانه منتقل نشوند؛ اما نباید پردازش اطلاعات معمول برنامهها را بر عهده کارت هوشمند گذاشت.
با اشاره به اشتباهات رایج و استفادههای نادرست از کارت هوشمند، بهتر است مروری بر کاربردهای صحیح کارت هوشمند نیز داشته باشیم. بهطورکلی شاید یکی از پراستفادهترین کاربردهای کارت هوشمند، استفاده از آن برای تشخیص هویت و احراز اصالت کاربران است. در این روش کاربر باید از کارت هوشمند خود برای ورود به یک سامانه یا دریافت خدمات استفاده کند. این روش جایگزین نام کاربری و رمز عبور است و اصطلاحاً به آن احراز هویت دوعامله (Two-Factor Authentication) اطلاق میشود. هر سامانه نرمافزاری میتواند با چنین قابلیتی بدون استفاده از نام کاربری با امنیتی بهمراتب بالاتر از رمز عبور، کاربران خود را شناسایی کند.
بهبیاندیگر استفاده از کارت هوشمند جهت هویتبخشی به کاربران در فضای دیجیتال، روشی سودمند است. بدین ترتیب اطلاعات کاربر روی کارت هوشمند قرار میگیرد و میتوان او را بهصورت دیجیتال از راه دور یا حضوری شناسایی کرد. شایانذکر است برای شناسایی کاربر یا احراز هویت وی، سامانههای برخط یا پایگاه داده متمرکز نمیتوانند کمک شایانی داشته باشند، چراکه پیش از اتصال به این سامانهها و دریافت هر نوع خدمتی، باید ابتدا کاربر شناسایی و احراز هویت شود.
همانطور که پیشازاین ذکر شد استفاده مهم دیگر از کارت هوشمند، ذخیره دادههای خاص است. در این زمینه دادههایی که لازم است بهصورت برونخط در سامانههای مختلف استفاده شوند، روی کارت قرار میگیرند یا ممکن است برنامهای اختصاصی نیز روی کارت اجرا شود تا این خدمات را فراهم آورد. در این زمینه میتوان به پروژه کارت سوخت یا کارت سلامت اشاره کرد.
کارتهای هوشمند امروزی عموماً در دو اندازه ملی یا سازمانی مورداستفاده قرار میگیرند. کارت هوشمند سوخت، گذرنامه الکترونیکی، کارت ملی هوشمند، گواهینامه رانندگی هوشمند و امثالهم از انواع کارتهای هوشمند با کاربرد در اندازههای ملی هستند. از طرف دیگر بسیاری از سازمانها نیز از کارت هوشمند برای کاربردهای سازمانی خود استفاده میکنند. در چنین شرایطی از کارت هوشمند بهصورت چندمنظوره (Multi-Purpose) استفاده میشود. بدین معنی که یک کارت واحد برای کاربر (کارمند، مشتری، شهروند یا مشترک) صادر میشود و او میتواند از این کارت برای دریافت بازه وسیعی از خدمات استفاده کند. این کارت واحد میتواند بهصورت همزمان دارای نوار مغناطیسی، کارت هوشمند تماسی، کارت هوشمند بودن تماس، بارکدهای دوبعدی، اطلاعات هویتی مانند مشخصات فردی و تصویر چهره، دادههای بیومتریک مانند اثرانگشت و سایر دادههای اختصاصی سازمان باشد. بدین ترتیب میتوان هزینههای سازمان را در صدور و استفاده از انواع کارتها و دستگاههای رمزنگاری کاهش داد، چراکه از طرفی به خرید تجهیزات سختافزاری و نرمافزاری کمتری نیاز است و از طرف دیگر هزینههای صدور و نگهداری کارت کاهش مییابد. چنین کارتی میتواند بهصورت همزمان برای کنترل تردد پرسنل، دسترسیهای فیزیکی به ساختمان، حضوروغیاب، دسترسی به رایانههای سازمان، دسترسی به شبکه، ورود به سامانههای نرمافزاری، امضای دیجیتالی، کارت شناسایی سازمانی و بسیاری دیگر از کاربردهای دیگر مورداستفاده قرار گیرد. البته در چنین شرایطی پیروی از استانداردهای تعاملپذیری (Interoperability) الزامی است تا تمامی سختافزارها و نرمافزارهای سازمان بتوانند از چنین کارتی استفاده کنند.
حسین رضایی قلعه
منبع: ماهنامه پیوست؛ شماره 26