Cryptography Reference
In-Depth Information
Die Eigenschaften der Chipkarte werden durch die verschiedenen
CardServices
in einzelne
Gruppen aufgeteilt. Für die Speicherung von Daten auf der Chipkarte sind drei eigenständige
CardServices aus dem Paket ISO-Dateisystem verantwortlich. Hier wird die gesamte Funktio-
nalität eines Chipkarten-Dateisystems nach ISO/IEC 7816 objektorientiert gekapselt. Für die
Erstellung und Verifikation von digitalen Signaturen sowie die Administration der privaten
und öffentlichen Schlüssel in einer PKI gibt es den
SignatureCardService
in den CardServices.
Der SignatureCardService nutzt dafür Kryptofunktionen, die wiederum aus exportrechtlichen
Gründen in einem eigenen Open Card Security Framework ausgelagert sind. Das Open Card
Security Framework ist ebenfalls ein Card Service.
Ein wesentlicher Vorteil des OCF-Standards ist die Plattformunabhängigkeit. Die Absicherung
von Transaktionen im Internet lässt sich am leichtesten mit einer plattformunabhängigen Spra-
che realisieren. Damit verbunden ist ein Wegfall der Installation von Treibern für den Chipkar-
tenzugriff. OCF-Libraries können als Java-Bytecode dynamisch aus dem Internet oder einem
anderen Netz nachgeladen werden. Dies vereinfacht wesentlich die Installation und Akzeptanz
der Chipkarte beim Anwender und wird unter dem Schlagwort „No-Second-Rollout“ zusam-
mengefasst.
Aufgrund der in Abb. 7-13 skizzierten OCF-Architektur als Java-Framework, ist eine modula-
re Integration in andere J2SE/J2EE-Applikationen am PC gegeben und eine spätere Erweiter-
barkeit sichergestellt. Im Zusammenhang mit OCF ist eine universelle Realisierung für ver-
schiedene Terminals und Chipkarten-Betriebssysteme möglich. Zusätzlich können mit OCF
die Vorteile der Programmiersprache Java genutzt werden.
Leider lässt die Unterstützung auf Seiten der Chipkarten- und Terminalhersteller bei OCF noch
zu wünschen übrig. In den wenigsten Fällen sind bei Realisierungen nach dem OCF-Standard
alle CardServices für ein Chipkarten-Betriebssystem implementiert. Die Auswahl an Terminals
mit OCF-Treibern ist ebenfalls stark eingeschränkt.
7.4.1.6
Internet-Chipkarten
Im Gegensatz zu den zuvor beschriebenen klassischen Chipkarten nach ISO/IEC 7816 benöti-
gen
Internet-Chipkarten
kein Terminal und keine Chipkarten-Middleware mehr, sondern kön-
nen direkt über den ebenfalls im PC/Host-Betriebssystem vorhandenen TCP/IP-Stack kommu-
nizieren. Da auf Protokoll-Schicht 2 bei Internet-Chipkarten USB (Universal Serial Bus) oder
in seltenen Fällen auch MMC (Multi Media Card) zum Einsatz kommt, entfällt auch eine In-
stallation eines Treibers für die physikalische Anbindung. Ebenso richten sich die physikali-
schen Formen bei diesen neuen Systemen nicht mehr unbedingt nach den in ISO/IEC 7816
Teil 1 vorgegebenen Maßen, sondern die Chipkarte ähnelt eher einem Dongle. Im Unterschied
zu anderen Dongels oder Tokens befindet sich allerdings bei der Internet-Chipkarte immer
noch das Betriebssystem mit Applikationen auf nur einem Prozessor-Chip. Die Ein-Chip Lö-
sung hat neben Sicherheitsvorteilen auch deutliche Kostenvorteile.
Die Internet-Chipkarte bildet zusammen mit dem PC ein kleines lokales Netz der Klasse C und
ist damit von den sonstigen Netzverbindungen des PCs isoliert, Abb. 7-14. Die Verbindung in
das externe Netz, gleichgültig ob es sich um ein LAN, eine DSL- oder Modemverbindung
handelt, erhält die Karte über einen in den PC integrierten NAT-Router (Network Address
Translation). Dieser wird beispielsweise bei den neueren Windows-Versionen als „Internet
