Cryptography Reference
In-Depth Information
Abschließend wird die Internet-Chipkarte vorgestellt, die ohne jegliche Middleware aus-
kommt, da sie sich mit dem PC als eigener Netzwerkknoten über das Internetprotokoll verbin-
det.
7.4.1.1
Aufbau der Kommunikation
Treiber für den Chipkartenzugriff kommunizieren meistens über ein serielles Interface mit dem
Chipkartenleser, der dann letztendlich die Kommunikation zur Chipkarte aufbaut. Erst neuere
Chipkarten nutzen auch das USB-Protokoll oder die Schnittstelle für Speicherkarten und benö-
tigen somit keinen Chipkartenleser mehr.
Im eigentlichen Datenaustausch zwischen Applikation und Chipkarte besitzt der Chipkartenle-
ser (Terminal) abhängig von der verwendeten Chipkarten-Middleware unterschiedliche Trans-
parenz, Abb. 7-9.
Applikations-Schicht
OSI/ISO Schicht 7
APDUs nach ISO/IEC 7816-4,7,8,9 oder EMV
oder GSM 11.11 und 11.14
Datenübertragung
OSI/ISO Schicht 2
T=0 oder T=1 nach ISO/IEC 7816-3, USB
Physikalische
Übertragung
OSI/ISO Schicht 1
Kontaktbehaftete (ISO/IEC 7816-3, USB) oder
kontaktlose (ISO/IEC 14443) Verbindung
Abb. 7-9: Protokollstack beim Einsatz von Chipkarten.
Bei manchen Treibern, wie die unten vorgestellte CT-API (Card Terminal), können Komman-
dos direkt mit dem Terminal ausgetauscht werden. Dagegen abstrahieren andere Bibliotheken,
wie PKCS#11-Module (Public Key Cryptographic Standard) das Terminal komplett. Je höher
der Abstraktionsgrad ist, desto weniger kann die eigentliche Kommunikation beeinflusst wer-
den.
Eine abstrakte Schnittstelle vereinfacht zwar die Integration, kann aber unter Umständen nicht
genug Rücksicht auf bestimmte Sicherheitsanforderungen oder zeitkritische Operationen neh-
men. Ein Beispiel hierfür wäre die sichere Eingabe von
PIN
s (Personal Identification Num-
bers) bei Class-2-Terminals. Nur wenige Schnittstellen unterstützen diese Möglichkeit der
PIN-Eingabe über den Chipkartenleser. Im Gegensatz dazu kann die PC-Applikation bei einer
Integration über das
CT-API
die sichere PIN-Eingabe selbst realisieren. Die abhörsichere Ein-
gabe einer PIN ist eine wichtige Bedingung, um eine manuelle Unterschrift durch eine digitale
zu ersetzen. Nur eine sichere PIN-Eingabe kann als Willenserklärung die Erzeugung einer
qualifizierten elektronischen Signatur, die eine manuelle Unterschrift ersetzen kann, auslösen.
Bei Prozessorchipkarten findet die Kommunikation, wie in Abb. 7-10 dargestellt, zwischen
Chipkarte und Terminal immer im asynchronen Protokoll T=0 bzw. T=1 nach ISO/IEC 7816
